JWT对SpringCloud进行认证和鉴权
JWT(JSON WEB TOKEN)是基于RFC 7519标准定义的一种可以安全传输的小巧和自包含的JSON对象。由于数据是使用数字签名的,所以是可信任的和安全的。JWT可以使用HMAC算法对secret进行加密或者使用RSA的公钥私钥对来进行签名。
JWT通常由头部(Header),负载(Payload),签名(Signature)三个部分组成,中间以.号分隔,其格式为Header.Payload.Signature
Header:声明令牌的类型和使用的算法
- alg:签名的算法
- typ:token的类型,比如JWT
Header eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9
Payload eyJpc3MiOiJnZXJyeV91c2VyIiwibmFtZSI6IueJp-eggeS6uuaVmeiCs
iIsImV4cCI6MTU5MDU4NTc1OCwidHlwZSI6IjIiLCJlbWFpbCI6IjI3MTMxNDk5OEB
xcS5jb20iLCJtYXJrIjoiZ2VycnkiLCJ0cyI6IjE1OTA0OTkzNTgifQ
Signature ZQba2qY0Q9AzdnmV850Xr1QdOFexLxRrb5qa66mOvZo
Payload:也称为JWT Claims,包含用户的一些信息
系统保留的声明(Reserved claims):
- iss (issuer):签发人
- exp (expiration time):过期时间
- sub (subject):主题
- aud (audience):受众用户
- nbf (Not Before):在此之前不可用
- iat (Issued At):签发时间
- jti (JWT ID):JWT唯一标识,能用于防止JWT重复使用
公共的声明(public):见 http://www.iana.org/assignments/jwt/jwt.xhtml
私有的声明(private claims):根据业务需要自己定义的数据
ImmutableMap.of("name",
returnUser.getName(), "email", returnUser.getEmail(),
"type",returnUser.getType()+"","ts", Instant.now().getEpochSecond() + "", "mark", "gerry")
Signature:签名
签名格式: HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)
JWT的特点:
- JWT默认是不加密的,不能把用户敏感类信息放在Payload部分。
- JWT 不仅可以用于认证,也可以用于交换信息。
- JWT的最大缺点是服务器不保存会话状态,所以在使用期间不可能取消令牌或更改令牌的权限。
- JWT本身包含认证信息,为了减少盗用,JWT的有效期不宜设置太长。
- 为了减少盗用和窃取,JWT不建议使用HTTP协议来传输代码,而是使用加密的HTTPS协议进行传输。
- 首次生成token比较慢,比较耗CPU,在高并发的情况下需要考虑CPU占用问题。
- 生成的token比较长,可能需要考虑流量问题。
- oauth2
认证原理:
- 客户端向服务器申请授权,服务器认证以后,生成一个token字符串并返回给客户端,此后客户端在请求受保护的资源时携带这个token,服务端进行验证再从这个token中解析出用户的身份信息。
JWT的使用方式:一种做法是放在HTTP请求的头信息Authorization字段里面,格式如下:
Authorization: <token>
需要将服务器设置为接受来自所有域的请求,用Access-Control-Allow-Origin: *
另一种做法是,跨域的时候,JWT就放在POST请求的数据体里面。
对JWT实现token续签的做法:
1、额外生成一个refreshToken用于获取新token,refreshToken需存储于服务端,其过期时间比JWT的过期时间要稍长。
2、用户携带refreshToken参数请求token刷新接口,服务端在判断refreshToken未过期后,取出关联的用户信息和当前token。
3、使用当前用户信息重新生成token,并将旧的token置于黑名单中,返回新的token。
- 物化视图相关的性能改进 (r7笔记第58天)
- Maven 核心原理解析(1)
- LeetCode——Two Sum
- TensorFlow全新的数据读取方式:Dataset API入门教程
- 不经意发现的dba_objects和dba_tables中的细节(r7笔记第56天)
- LeetCode——Longest Substring Without Repeating Characters
- Python time模块详解(时间戳↔元组形式↔格式化形式三者转化)
- Maven 核心原理解析(2)
- Linux C 编程——互斥锁mutex
- python两个 list 获取交集,并集,差集的方法.
- python——时间与时间戳之间的转换
- Maven 核心原理解析(3)
- String中的null,以及String s;等区别详解
- Shell编程——Shell中的数学运算
- java教程
- Java快速入门
- Java 开发环境配置
- Java基本语法
- Java 对象和类
- Java 基本数据类型
- Java 变量类型
- Java 修饰符
- Java 运算符
- Java 循环结构
- Java 分支结构
- Java Number类
- Java Character类
- Java String类
- Java StringBuffer和StringBuilder类
- Java 数组
- Java 日期时间
- Java 正则表达式
- Java 方法
- Java 流(Stream)、文件(File)和IO
- Java 异常处理
- Java 继承
- Java 重写(Override)与重载(Overload)
- Java 多态
- Java 抽象类
- Java 封装
- Java 接口
- Java 包(package)
- Java 数据结构
- Java 集合框架
- Java 泛型
- Java 序列化
- Java 网络编程
- Java 发送邮件
- Java 多线程编程
- Java Applet基础
- Java 文档注释
- Backtracking - 78. Subsets
- Tree - 331. Verify Preorder Serialization of a Binary Tree
- Tree - 95. Unique Binary Search Trees II
- Tree - 96. Unique Binary Search Trees
- Tree - 116. Populating Next Right Pointers in Each Node
- Tree - 297. Serialize and Deserialize Binary Tree
- 使用 shell 脚本批量创建用户详解讲解
- Tree - 230. Kth Smallest Element in a BST
- Tree - 173. Binary Search Tree Iterator
- Tree - 450. Delete Node in a BST
- Tree - 687. Longest Univalue Path
- DFS - 980. Unique Paths III
- Dynamic Programming - 375. Guess Number Higher or Lower II
- go语言的原生map引发的一个坑
- 分布式服务监控你真的会吗