加盐加密、token auth机制、jwt

md5本身不可逆，但是唯一。

abc -> aaaaaaaaaaaaaaaa

qw -> bbbbb

123456 -> cccccccccc

md5(123456 ) --- cccccccccccc

md5(1111111 ) ---ddddddd

md5(8888888) -----eeeeeeeeeee

md5的密码是唯一的，因此如果有人 将常见密码 做成了一张映射表，那么可能通过此映射表 查出明文 。

如何解决？ 加盐加密： 给原有密码中 参入一些 ”盐“，因为每个人的盐不同，所以加密的结果不同。

md5(11Q11Q111 ) ---ddasdfasddasdsdfddd

分布式认证机制

无状态


跨域：如果两个服务的IP、端口或者协议（http https ftp）不同，那么二者在相互访问时，必须先支持跨域 之后才能访问。

介质问题：并不是所有的设备 都支持cookie （比如 移动设备就不支持 cookie）

Token Auth就是支持 无状态、跨域、并且能解决介质问题的 分布式认证机制。

Token Auth可以将数据存储cookie、LocalStorage、SessionStorage

Token Auth机制：


token auth是一种机制，而jwt是它的一个具体的实现方案。

Json Web Token

jwt的组成结构： Header、PayLoad 、Signature三部分组成

token : header.payloder.signature

- Header: 头部，存放 token类型、加密算法 ，并将二者通过Base64 URL算法转为字符串形式保存。


- PayLoad： 载荷，存放数据， 包含了以下3个模块快

- 基本声明： Token签发者信息、签发时间、过期时间

- 公有声明： 一些业务相关的信息

- 私有声明： 开发者信息

PayLoad最终仍然会将 以上三者通过Base64 UR.L加密成 字符串2。

Base64 URL算法本身是对称的（可逆），因此 不论是 公有、私有的等，都不安全。

- Signature：签名，用于防止用户进行一些不合法的校验。包含4部分：

- 使用Base64 URL算法加密后的 Header值

- .

- 使用Base64 URL算法加密后的 PayLoad值

- 盐secret

还要注意，以上4部分：前三者连接起来，最后一个是独立存在的。

Signature最终会通过Header中设置的加密算法 将以上4部分进行整体加密。

举例，假设算法是HS256,则签名就是以下：

HS256( Base64URL(Header)+"."+Base64URL(PayLoad) , secret )

实现一个 jwt分布式认证的案例。

基础版

引入依赖

<dependency>

<groupId>io.jsonwebtoken</groupId>

<artifactId>jwt</artifactId>

<version>0.9.1</version>

</dependency>

服务端

流程：客户端——>服务端->服务端产生token ->将token返回给客户端->客户端拿着token去访问

import io.jsonwebtoken.Claims;

import io.jsonwebtoken.Jwts;

import io.jsonwebtoken.SignatureAlgorithm;

import io.jsonwebtoken.impl.DefaultClaims;

import javax.crypto.spec.SecretKeySpec;

import javax.xml.bind.DatatypeConverter;

import java.util.Date;

import java.util.HashMap;

import java.util.Map;

public class JWTServer {

//1.服务端产生token

public static void createToken(){

//1.Header

Map<String,Object> header = new HashMap<>();

//类型

header.put("typ","jwt");

//加密算法

header.put("alg","HS256");

//2.PayLoad (Map Claims)

Claims claims = new DefaultClaims() ;

claims.setId("microservice")

.setSubject("微服务项目")

.setIssuedAt(new Date() )//签发时间

.setExpiration(new Date( System.currentTimeMillis() + 1800*1000 ) )//有效时间 （半小时内有效）

.setAudience("自定义声明信息") ;

//3.Signature

//盐

String salt = "yanqun" ;

byte[] saltBase64 = DatatypeConverter.parseBase64Binary(salt) ;

SignatureAlgorithm hs256 = SignatureAlgorithm.HS256;

SecretKeySpec secretKey = new SecretKeySpec(saltBase64,hs256.getJcaName()) ;

//生成token

String token = Jwts.builder().setHeader(header).setClaims(claims).signWith(hs256, secretKey).compact();

System.out.println("服务端生成token："+token);

}

public static void main(String[] args) {

createToken();

}

}

客户端

import io.jsonwebtoken.Claims;

import io.jsonwebtoken.Jws;

import io.jsonwebtoken.Jwts;

public class JWTClient {

//客户端 携带token访问服务端

//token + 盐

public static void visitServer(){

String token = "eyJ0eXAiOiJqd3QiLCJhbGciOiJIUzI1NiJ9.eyJqdGkiOiJtaWNyb3NlcnZpY2UiLCJzdWIiOiLlvq7mnI3liqHpobnnm64iLCJpYXQiOjE1OTM0MDA1NTIsImV4cCI6MTU5MzQwMjM1MiwiYXVkIjoi6Ieq5a6a5LmJ5aOw5piO5L-h5oGvIn0.wo3KfQ60D2whdwMdMZjemRXz5m3ScuJsfjILV5p7RQ4";

String salt = "yanqun" ;

//获取jsw对象,jws就包含了所有的服务端校验信息

Jws<Claims> jws = Jwts.parser().setSigningKey(salt).parseClaimsJws(token);

System.out.println(jws);

Claims claims = jws.getBody();

System.out.println("header:"+jws.getHeader());

System.out.println("payload:"+claims.getId());

System.out.println("payload:"+claims.getSubject());

System.out.println("payload:"+claims.getIssuedAt());

System.out.println("payload:"+claims.getExpiration());

System.out.println("payload:"+claims.getAudience());

System.out.println("signature:"+jws.getSignature());

System.out.println(jws.getSignature().equals(token.split("\\.")[2]));

}

public static void main(String[] args) {

visitServer();

}

}