Java阶段四04

第4章-第4节

一、知识点

CSRF、token、JWT

二、目标

理解什么是CSRF攻击以及如何防范
理解什么是token
理解什么是JWT
理解session验证和JWT验证的区别
学会使用JWT

三、内容分析

重点
- 理解什么是CSRF攻击以及如何防范
- 理解什么是token
- 理解什么是JWT
- 理解session验证和JWT验证的区别
- 学会使用JWT
难点
- 理解session验证和JWT验证的区别
- 学会使用JWT

四、内容

1、CSRF

1.1 概述

CSRF全称为跨站请求伪造（Cross-site request forgery），是一种网络攻击方式，也被称为 one-click attack 或者 session riding。

1.2 原理

CSRF攻击利用网站对于用户网页浏览器的信任，挟持用户当前已登陆的Web应用程序，去执行并非用户本意的操作。网站是通过cookie来实现登录功能的，而cookie只要存在浏览器中，那么浏览器在访问这个cookie的服务器的时候，就会自动的携带cookie信息到服务器上去。那么这时候就存在一个漏洞了，如果你访问了一个别有用心或病毒网站，这个网站可以在网页源代码中插入js代码，使用js代码给其他服务器发送请求（比如ICBC的转账请求）。那么因为在发送请求的时候，浏览器会自动的把cookie发送给对应的服务器，这时候相应的服务器（比如ICBC网站），就不知道这个请求是伪造的，就被欺骗过去了。从而达到在用户不知情的情况下，给某个服务器发送了一个请求（比如转账）。

1.3 解决方案

CSRF攻击的要点就是在向服务器发送请求的时候，相应的cookie会自动的发送给对应的服务器。造成服务器不知道这个请求是用户发起的还是伪造的。这时候，我们可以在用户每次访问有表单的页面的时候，在网页源代码中加一个随机的字符串叫做csrf_token，在cookie中也加入一个相同值的csrf_token字符串。以后给服务器发送请求的时候，必须在body中以及cookie中都携带csrf_token，服务器只有检测到cookie中的csrf_token和body中的csrf_token都相同，才认为这个请求是正常的，否则就是伪造的。那么黑客就没办法伪造请求了。

2、JWT

2.1 什么是token

Token在计算机身份认证中是令牌（临时）的意思，在词法分析中是标记的意思。一般作为邀请、登录系统使用。

2.2 什么是JWT

Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准（(RFC 7519).定义了一种简洁的，自包含的方法用于通信双方之间以JSON对象的形式安全的传递信息。因为数字签名的存在，这些信息是可信的，JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名。

2.3 JWT的请求流程

用户使用账号和面发出登录请求
服务器验证并创建一个jwt
服务器返回这个jwt给浏览器
浏览器将该jwt串在请求头中向服务器发送请求
服务器验证该jwt
返回响应的资源给浏览器

2.4 为什么使用JWT

2.4.1 传统Session认证的弊端

在用户首次登录成功后，在服务器存储一份用户登录的信息(session)，这份登录信息会在响应时传递给浏览器，告诉其保存为cookie，以便下次请求时发送给我们的应用，这样我们的应用就能识别请求来自哪个用户了，这是传统的基于session认证的过程。

然而，传统的session认证有如下的问题：

每个用户的登录信息都会保存到服务器的session中，随着用户的增多，服务器开销会明显增大
对于非浏览器的客户端、手机移动端等不适用，因为session依赖于cookie，而移动端经常没有cookie
因为session认证本质基于cookie，所以如果cookie被截获，用户很容易收到跨站请求伪造攻击。并且如果浏览器禁用了cookie，这种方式也会失效
由于基于Cookie，而cookie无法跨域，所以session的认证也无法跨域，对单点登录不适用

2.4.2 JWT认证的优势

JWT Token数据量小，传输速度也很快
因为JWT Token是以JSON加密形式保存在客户端的，所以JWT是跨语言的，原则上任何web形式都支持
不需要在服务端保存会话信息，也就是说不依赖于cookie和session，所以没有了传统session认证的弊端
单点登录友好：使用Session进行身份认证的话，由于cookie无法跨域，难以实现单点登录。但是，使用token进行认证的话， token可以被保存在客户端的任意位置的内存中，不一定是cookie，所以不依赖cookie，不会存在这些问题
适合移动端应用：使用Session进行身份认证的话，需要保存一份信息在服务器端，而且这种方式会依赖到Cookie（需要 Cookie 保存 SessionId），所以不适合移动端

身份认证在这种场景下，一旦用户完成了登陆，在接下来的每个请求中包含JWT，可以用来验证用户身份以及对路由，服务和资源的访问权限进行验证。由于它的开销非常小，可以轻松的在不同域名的系统中传递。信息交换在通信的双方之间使用JWT对数据进行编码是一种非常安全的方式，由于它的信息是经过签名的，可以确保发送者发送的信息是没有经过伪造的。

2.4 JWT结构

JWT由3部分组成：标头(Header)、有效载荷(Payload)和签名(Signature)。在传输的时候，会将JWT的3部分分别进行Base64编码后用.进行连接形成最终传输的字符串

2.5.1 Header

JWT头是一个描述JWT元数据的JSON对象，alg属性表示签名使用的算法，默认为HMAC SHA256（写为HS256）

2.5.2 Payload

有效载荷部分，是JWT的主体内容部分，也是一个JSON对象，包含需要传递的数据。

默认情况下JWT是未加密的，因为只是采用base64算法，拿到JWT字符串后可以转换回原本的JSON数据，任何人都可以解读其内容，因此不要构建隐私信息字段，比如用户的密码一定不能保存到JWT中，以防止信息泄露。JWT只是适合在网络中传输一些非敏感的信息

2.5.3 Signature

签名部分是对上面两部分数据签名，需要使用base64编码后的header和payload数据，通过指定的算法生成哈希，以确保数据不会被篡改。首先，需要指定一个密钥（secret）。该密钥仅仅为保存在服务器中，并且不能向用户公开。然后，使用header中指定的签名算法（默认情况下为HMAC SHA256）根据以下公式生成签名

3、SpringBoot使用JWT

3.1 添加jwt依赖

java"><dependency><groupId>com.auth0</groupId><artifactId>java-jwt</artifactId><version>3.4.0</version>
</dependency>

3.2 封装工具类

封装返回值的类

java">@Data
@AllArgsConstructor
@NoArgsConstructor
public class AjaxResult<T> {private Integer code;private String msg;private T data;
/*** 成功的返回结果** @param msg  成功信息* @param data 返回的值* @param <T>  返回值的泛型* @return 返回AjaxResult对象*/public static <T> AjaxResult<T> success(String msg, T data) {return new AjaxResult<T>(200, msg, data);}
/*** 成功的返回结果** @param data 返回的值* @param <T>  返回值的泛型* @return 返回AjaxResult对象*/public static <T> AjaxResult<T> success(T data) {return new AjaxResult<T>(200, "操作成功", data);}
/*** 失败的返回结果** @param msg  成功信息* @param data 返回的值* @param <T>  返回值的泛型* @return 返回AjaxResult对象*/public static <T> AjaxResult<T> error(String msg, T data) {return new AjaxResult<T>(500, msg, data);}
/*** 失败的返回结果** @param data 返回的值* @param <T>  返回值的泛型* @return 返回AjaxResult对象*/public static <T> AjaxResult<T> error(T data) {return new AjaxResult<T>(500, "操作失败", data);}
/*** 认证失败的返回结果** @param msg  成功信息* @param data 返回的值* @param <T>  返回值的泛型* @return 返回AjaxResult对象*/public static <T> AjaxResult<T> unAuth(String msg, T data) {return new AjaxResult<T>(401, msg, data);}
}

将jwt的验证等功能封装一下方便后续调用

java">public class JWTUtil {// 加密的秘钥封装一下private static final String SECRET = "secret";// id字段private static final String ID_FIELD = "userID";// token的有效时间 30 天private static final Integer TIME_OUT_DAY = 30;
/*** 创建token** @param user 登陆的用户* @return 返回Token字符串*/public static String createToken(SysUser user) {// 获取日历对象实例Calendar calendar = Calendar.getInstance();// 在当前日期加上 TIME_OUT_DAY 的时间，用于设置过期时间calendar.add(Calendar.DATE, TIME_OUT_DAY);System.out.println(user.getId());// 创建jwtreturn JWT.create()// 可以在token中设置数据,设置一个userId为用户的id// 后续可以直接在token中获取id.withClaim(ID_FIELD, user.getId())// 设置token过期时间.withExpiresAt(calendar.getTime())// Algorithm.HMAC256(SECRET) 使用HMAC256的加密方式// secret 指的是秘钥，在这个秘钥的基础上，进行加密，加大破解的难度这个秘钥爱写什么写什么.sign(Algorithm.HMAC256(SECRET));}
/*** 验证JWT，返回为false的时候表示验证失败** @param token token字符串* @return 返回boolean 表示是否登录成功*/public static boolean verifyToken(String token) {try {// 验证JWT，验证不通过会报错JWT.require(Algorithm.HMAC256(SECRET)).build().verify(token);return true;} catch (Exception e) {return false;}}
/*** 获取用户id，返回值是0表示没有找到id** @param token token 字符串* @return 返回对应的用户id，如果为0则表示没有用户*/public static Long getUserId(String token) {try {// 获取id，没有id则会报错return JWT.require(Algorithm.HMAC256(SECRET)).build().verify(token).getClaim(ID_FIELD).asLong();} catch (Exception e) {// 如果报错就返回null表示没有找到对应的用户return 0L;}}
}

3.3 token创建测试

写一个登录接口进行测试，控制层、持久层等代码不展示

java">@PostMapping("/login")
public AjaxResult<String> login(User user) {// 添加用户的帐号密码的条件LambdaQueryWrapper<User> wrapper = new LambdaQueryWrapper<>();wrapper.eq(User::getUsername, user.getUsername());wrapper.eq(User::getPassword, user.getPassword());// 使用Mybatis-Plus查询用户User loginUser = service.getOne(wrapper);// 只有登录成功才需要jwtif (loginUser == null) {return AjaxResult.unAuth("登录失败", null);}String token = JWTUtil.createToken(loginUser);// 登录成功后把token返回给前端return AjaxResult.success(token);
}

发现这个登录接口可以获得到生成的token，说明我们的token的创建是没有问题，那么验证呢？

要验证接口首先要先把请求拦截下来，所以需要添加拦截器

3.4 添加拦截器

3.4.1 拦截器

拦截请求，验证请求头是否携带了token

java">/*** 授权拦截器，用来验证用户是否有权利访问接口*/
public class AuthInterceptor implements HandlerInterceptor {/*** 要验证用户是否有权限，那么就要验证token** @param request* @param response* @param handler* @return* @throws Exception*/@Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {// 从头部获取我们的tokenString token = request.getHeader("token");// 设置返回值类型response.setContentType("text/plain;charset=utf-8");// 如果token是空的就说明没有token，没有权限if (token == null) {response.getWriter().write("没有token");return false;}boolean b = JWTUtil.verifyToken(token);if (!b) {response.getWriter().write("用户认证失败");return false;}// 统一处理用户id不存在的情况Long userId = JWTUtil.getUserId(token);if (userId == null) {response.getWriter().write("用户不存在或者过期");return false;}return b;}
}

3.4.2 拦截器配置

java">@Configuration
public class AuthInterceptorConfig implements WebMvcConfigurer {@Overridepublic void addInterceptors(InterceptorRegistry registry) {registry.addInterceptor(new AuthInterceptor()).addPathPatterns("/**").excludePathPatterns("/user/login");// 登录接口是不要验证token的}
}

3.5 token验证测试

java">@GetMapping
public AjaxResult<User> getUserInfo(HttpServletRequest req) {LambdaQueryWrapper<User> wrapper = new LambdaQueryWrapper<>();// 获取TokenString token = req.getHeader("token");// 获取用户IdLong id = JWTUtil.getUserId(token);// 根据Id查询User loginUser = service.getById(id);if (loginUser == null) {return AjaxResult.error("用户不存在", null);}return AjaxResult.success(loginUser);
}

3.6 优化返回值

优化返回值，改成json格式的

3.6.1 封装响应工具类ResponseUtil

java">public class ResponseUtil {/**** @param response 响应对象* @param data 要返回的对象* @throws IOException*/public static void responseToWeb(HttpServletResponse response, Object data) throws IOException {ObjectMapper mapper = new ObjectMapper();// 使用jackson的对象转JSON字符串String resultStr = mapper.writeValueAsString(data);// 设置返回的数据类型和编码格式response.setContentType("text/plain;charset=utf-8");// 通过写出流发送给调用者response.getWriter().write(resultStr);}
}

3.6.2 直接调用修改即可

java">if (token == null) {ResponseUtil.responseToWeb(response, AjaxResult.unAuth("没有Token", null));return false;
}

4、小结

本章节中，我们学习了CSRF攻击以及如何防范、理解了什么是token、什么是JWT、学些了session验证和JWT验证的区别、同时在SpringBoot中对JWT进行了封装和使用，对开发中的登录流程有了一个更加清晰的认知。

下一节中，我们将会学习Redis技术，了解什么是NoSql、为什么要使用NoSql、什么是Redis、Redis的优势是什么、如何使用Redis。