Json Web Token的介绍和最佳实践

1. 什么是JSON Web Token

JSON Web Token是一个开放的、行业规范(RFC7519)的方法,用于通信双方进行可靠的数据传输。它规定了一种紧凑的数据格式,将要传输的数据以JSON对象方式的组织,然后进行编码和签名,转化成为Token。

JSON Web Token包含三部分信息数据,

Header.Payload.Signature

其中,

  • Header:数据头部,声明Token类型和加密算法(比如HMAC SHA256或者RSA)
  • Payload:数据的信息体,包含了要传输的信息体
  • Signature:数据的数字签名,用于对数据进行校验来源可靠性和不被篡改

在三部分中,header/payload都是公开信息,JSON对象数据格式,使用Base64方式进行编码,这意味着header/payload可以被任何人进行解码和阅读,所以不要在header/payload放入敏感信息。

一个Token样例为,
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

其中,

Header Base64编解码 {"alg":"HS256","typ":"JWT"}
Payload Base64编解码 {"sub":"1234567890","name":"John Doe","admin":true}
Signature HS256签名算法 HS256(eyJhb……RydWV9, secret)

注:签名算法中的eyJhb……RydWV9为Base64编码后的Header.Payload

2. 应用场景

JWT一般用在如下两个场景,

  • 认证:这是最常用JWT应用场景,用于用户登录后,后端服务器颁发一个带有时效性的JWT token给前端应用,然后前端应用在后续的请求中使用该Token进行访问后端资源。
  • 信息交换:由于JWT对数据进行了签名,信息不能被篡改,可以可靠地在通信双方进行数据信息交换。

下图简单描绘了JWT在认证场景的使用流程,

使用方法

JWT的使用方法包括:签发、解码、校验,

  • 签发:用于对信息进行签名,然后颁发给使用方,供后续进行认证和信息交换
  • 解码:对JWT的信息体解码,获取信息,一般用在不进行校验的场合,比如在浏览器端
  • 校验:对JWT的校验,确认信息的来源可靠性和不被篡改、时效不过期

目前已经有如下语言的支持,

  • Java
  • Node.js
  • JavaScript
  • Microsoft .NET、.NET RT(Windows 8.1 and Windows Phone 8.1)
  • Python
  • Perl
  • Ruby
  • Go
  • Lua
  • Scala
  • Object-C
  • Swift
  • PHP

等等。

下面主要介绍JavaScript/Node.Js/Java三种语言对Jwt的签发、校验、解码的代码实现,这三种语言分别代表着web客户端/web服务器端/后端服务。

1) JavaScript

下面使用jwt-decode类库在web客户端(浏览器端)对token进行解码操作。

点击这里下载jwt-token.js脚本。

在HTML页面中引入上面的JavaScript脚本,下面为简单的解码演示,

<script type="text/javascript" src="jwt-token.js"></script>
<script>

    let jwtToken = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ";
    let payload = jwtToken.split('.')[1];
    let payloadInfo = JSON.parse(jwt.base64urldecode(payload));

    for (let key in payloadInfo) {
        console.log(key + ": " + payloadInfo[key]);
    }

</script>
2) Node.js

下面使用Node Auth0类库在nodejs的web服务器端进行token的签发和校验
安装命令,从npm中安装jsonwebtoken
npm install jsonwebtoken

签发

let jwt = require('jsonwebtoken');
let token = jwt.sign({name: 'John'}, 'secret', { algorithm: 'HS256', expiresIn: '1d', issuer: 'pphh'});

校验

let jwt = require('jsonwebtoken');
let info = jwt.verify(token, 'secret');
console.log(info.name) // John

解码

let info = jwt.decode(token, {complete: true});
console.log(info.header);
console.log(info.payload);
3) Java

下面使用Java Auth0类库来进行token的签发和校验。

在Maven项目中添加依赖项,

<dependency>
<groupId>com.auth0</groupId>
<artifactId>java-jwt</artifactId>
<version>3.2.0</version>
</dependency>

签发

try {
    Algorithm algorithm = Algorithm.HMAC256("secret");
    String token = JWT.create()
                      .withIssuer("auth0")
                      .sign(algorithm);
} catch (UnsupportedEncodingException exception){
    //UTF-8 encoding not supported
} catch (JWTCreationException exception){
    //Invalid Signing configuration / Couldn't convert Claims.
}

校验

String token = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXUyJ9.eyJpc3MiOiJhdXRoMCJ9.AbIJTDMFc7yUa5MhvcP03nJPyCPzZtQcGEp-zWfOkEE";
try {
    Algorithm algorithm = Algorithm.HMAC256("secret");
    JWTVerifier verifier = JWT.require(algorithm)
                              .withIssuer("auth0")
                              .build(); //Reusable verifier instance
    DecodedJWT jwt = verifier.verify(token);
} catch (UnsupportedEncodingException exception){
    //UTF-8 encoding not supported
} catch (JWTVerificationException exception){
    //Invalid signature/claims
}

解码

String token = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXUyJ9.eyJpc3MiOiJhdXRoMCJ9.AbIJTDMFc7yUa5MhvcP03nJPyCPzZtQcGEp-zWfOkEE";
try {
    DecodedJWT jwt = JWT.decode(token);
} catch (JWTDecodeException exception){
    //Invalid token
}

更多语言和JWT类库使用,请参考官方网站和样例。

最佳实践

  1. 在JWT信息体Payload中不要包括敏感信息,若一定要,可以尝试使用JSON Web Encryption 。
  2. 一定要添加Token过期时间expiration time (exp claim) ,用于时效性检查。
  3. 不建议以无签名算法的方式(签名算法为none)来颁发JWT token,这个有安全风险,会导致攻击者绕过某些JWT类库的校验,具体可以查看该资料
  4. 建议使用HTTPS来传输JWT token信息,在最大程度保证信息在传输过程中的安全性,防止被中间人截取。
  5. 确保签名密钥只能让颁发者和使用者知道,尽可能使用非对称加密算法来颁发Token(比如RSA算法)。
  6. 如果担心重放攻击(replay attacks),可以尝试设置jti声明(JWT ID Claim),该声明将使得每个JWT token拥有唯一的ID,使其可以只使用一次,可以用来防止重放攻击。
  7. 在浏览器端,token可以存放到sessionStorage/localStorage,但注意XSS(跨站点脚本)攻击;还有一种方法是token放到了Cookie中,建议为其加上HttpOnly和Secure标记,HttpOnly保证JavaScript无法获取该Cookie,而Secure标记将保证该Cookie信息只能通过Https传输,但注意Cookie的方式可能会引起CSRF(跨站请求伪造)攻击。

演示项目

admin demo项目代码中有一一使用上述的JWT token颁发、校验、解码方法,

  1. 在前端项目admin-front中,通过jwt-decode解析JWT token来获取登录用户账号。
  2. 在前端项目admin-front中,在配置文件webpack.config.js中有提供/test/auth接口,通过jsonwebtoken颁发JWT token。
  3. 在后端项目admin-server中,在UserService中,通过com.auth0.jwt.JWT来颁发JWT token。
  4. 在后端项目admin-server中,在JwtFilter中,通过com.auth0.jwt.JWT来校验用户登录token。

具体可以获取项目代码查看。

admin demo代码仓库地址:https://gitee.com/pphh/simple-admin,可以通过如下git clone命令获取仓库代码,

git clone git@gitee.com:pphh/simple-admin.git

参考资料

一个统计Git代码仓库签入代码行数的简单方法

本文介绍一个使用简单的脚本方法来统计各个开发者对一个git代码项目的提交代码行数,用于衡量各个开发者对于该项目的贡献量。

查看签入的提交代码行数

使用git命令行工具git log可以用于查看签入的各种信息,其中有个参数可以查看到每次签入的提交文件及其相关代码行数增减数目

git log --numstat --author="test"

一个输出的日志样例为,

Author: test <test@gmail.com>
Date: Tue Jan 5 01:20:49 2016 +0800

 add lombok feature.

10 1 pom.xml
5 16 src/main/java/com/peipeihh/spring/po/UserPO.java

在上述日志中,可以看到每次代码签入的改动文件,及其每个文件的代码改动量,其中第一个数字为代码增加量,第二个数字为代码减少量。有了这些日志,我们就可以使用awk工具统计下当前开发者总体增减行数量,脚本如下,

git log --numstat --author="test" | awk 'BEGIN{add=0;subs=0;loc=0} {if($1~/^[0-9]+/){add += $1; subs += $2; loc += $1 + $2 }} END {printf "%s\t%s\t%s\n", add, subs, loc }'

其中:变量add统计的为代码增减量,subs统计的为代码减少量,然后将add和subs相加得到代码改动行数loc,这样就可以获取到一个开发者在某个代码项目中改动的代码行数。

统计每人签入的代码行数

在统计每人签入的代码行数之前,还需要获取所有开发者列表,

git log --format='%aN' | sort -u

接下来要做的事情,就是逐一统计每个开发者的签入代码行数,一个简单的脚本如下,

git log --format='%aN' | sort -u | while read name; do echo -en "$name\t"; git log --numstat --author="$name" | awk 'BEGIN{add=0;subs=0;loc=0} {if($1~/^[0-9]+/){add += $1; subs += $2; loc += $1 + $2 }} END {printf "%s\t%s\t%s\n", add, subs, loc }'; done;

一个输出结果样例为,

test 32469 22 32491

优化建议

为了让统计更加准确和有意义,可以做如下改进,

过滤合并的代码

一般情况下需要对合并的代码量过滤掉,不计入统计,这可以通过加上--no-merges参数,

git log --numstat --author="test" --no-merges
过滤提交代码量大于10000行的提交

有时候提交的代码中不免含有引入第三方代码库的时候,这个时候可以在统计的时候过滤掉代码量过于大的代码提交(>10000),

git log --numstat --author="test" | awk 'BEGIN{add=0;subs=0;loc=0} {if(($1~/^[0-9]+/) && ($1<10000)){add += $1; subs += $2; loc += $1 + $2 }} END {printf "%s\t%s\t%s\n", add, subs, loc }';
按时间区段

如果需要统计某个时间区段,比如统计9月份的代码签入情况,可以加上--since/--until参数,

git log --numstat --author="test" --since=2016-9-01 --until=2016-9-30

后记

上面的统计方法可以简单的统计一个git代码仓库中每个开发者提交的代码行数,依次类推还可以统计文件数目、统计签入次数等等,还可以根据情况深入优化统计数据,这个就让读者自己根据上述资料来写个简单脚本了。

参考资料

Git log: https://git-scm.com/docs/git-log

java多线程编程简介

1. Java多线程的实现方式

Java中提供如下三种方式的多线程实现方式,

a) 继承Thread类:实现run()方法。
b) 继承Runnable接口:实现run()方法,比起Thread类更加灵活,可以实现多个线程共享数据。
c) 继承Callable接口:实现call()方法,比起Thread和Runnable,可以获取各个线程的返回值。

代码样例如下(具体的演示样例请参见multithread项目中的demo1),

 // BaseThread继承自Thread类
 BaseThread t1 = new BaseThread("Thread-1");
 BaseThread t2 = new BaseThread("Thread-2");
 t1.start();
 t2.start();
 
 // BaseRunable继承自Runnable接口,线程r1/r2共享run对象的数据
 BaseRunable run = new BaseRunable();
 Thread r1 = new Thread(run, "Thread-run-1");
 Thread r2 = new Thread(run, "Thread-run-2");
 r1.start();
 r2.start();
 
 // BaseCallback继承自Callable接口,在执行完毕后可以获取执行结果
 ExecutorService exec = Executors.newCachedThreadPool(); 
 Future<Integer> result = exec.submit(new BaseCallback(100));
 
 while(!result.isDone()){
 App.sleep(1);
 }
 
 try {
 App.logMessage("result: " + result.get());
 } catch (Exception e) {
 e.printStackTrace();
 }
 exec.shutdown();

2. Java多线程的同步Synchronized

为了控制多个线程对同一代码区的访问,Java语言提供了Synchronized关键字给对象、方法或者代码块进行加锁,加了锁的代码块在同一时间只能允许一个线程执行。

在如下的类中run()方法中加了Synchronized关键字,这将会使得第一个进入run()方法的线程打印完所有的count数字(从10到1),而后进入的其它线程将不会输出任何信息(因为count为0),注:假设所有线程使用同一个run对象初始化。

public class BaseRunableSync implements Runnable {

 private int count = 10;
 
 public synchronized void run() {
 for( ; count>0; count--) {
 App.logMessage("count=" + count);
 }
 }

}

具体的演示样例请参见multithread项目中的demo2

3. Java多线程的阻塞(Sleep/Wait)

在多线程编程中,很多时候不仅需要利用多线程充分使用资源,也要需要释放资源。Thread.Sleep和Object.wait就是在线程运行时主动释放CPU资源或者同步锁资源。

Thread.Sleep:当前线程进入阻塞模式,释放CPU资源,但是不释放同步锁。

Object.Wait:当前线程进入阻塞模式,释放CPU资源并释放同步锁。注意Object.wait必须和Synchronized同步配合使用,否则因为没有同步锁释放而导致抛异常。

具体的演示样例请参见multithread项目中的demo3,分别有如下的演示,

a)  runnable + synchronized :同步区没有任何阻塞
b) runnable + synchronized + sleep:同步区加sleep,线程被阻塞到等待池
c)  runnable + synchronized + wait:同步区加wait,线程被阻塞到等待池

4. Java多线程的合并(join)

Java程序起来后,有一个main的主线程,其它线程都是从该主线程诞生出子线程,如果子线程运行时间比较长,很有可能的情况是,主线程已经结束但子线程还在运行。

为了能够让主线程能够等待子线程的结束,可以使用thread.join()方法,使得当前线程阻塞到等待池,一直等待子线程执行完毕,

public class App {

 public static void main(String[] args) throws InterruptedException {
 
 App.logMessage("start...");
 
 BaseRunable run = new BaseRunable();
 Thread r1 = new Thread(run);
 Thread r2 = new Thread(run);
 r1.start();
 r2.start();
 
 // add the join method, which wait for r1/r2 to be finished
 r1.join();
 r2.join();
 
 App.logMessage("the end.");
 
 }
 
}

上述代码中,如果没有r1.join()和r2.join(),主线程很有可能在r1和r2执行完之前就已经结束。

具体代码样例请参见multithread项目中的demo4

5. Java多线程的死锁

多线程中,如果执行代码有多个资源锁,如果执行顺序不当,就会形成死锁。比如两个子线程,互相握有对方需要的对象锁并不释放,则会形成死锁。

public class DeadlockRunable implements Runnable {

 private Object lock1 = new Object();
 private Object lock2 = new Object();
 private Boolean bLockFlag = Boolean.FALSE;
 
 public void run() {
   bLockFlag = !bLockFlag;
   if(bLockFlag){

     synchronized(lock1){
       App.logMessage("lock1 is locked...");
       App.sleep(2);
       synchronized(lock2){
         App.logMessage("lock2 is locked...");
       }
     }
 
   }
   else {
 
       synchronized(lock2){
         App.logMessage("lock2 is locked...");
         App.sleep(2);
         synchronized(lock1){
          App.logMessage("lock1 is locked...");
         }
       }
 
   }
 }

}

一个死锁代码样例请参见multithread项目中的demo5

6. Java多线程的状态

Java多线程有如下几种状态,

新建(NEW)
就绪/可运行/在运行(RUNNABLE)
阻塞(BLOCKED)
等待(WAITING/TIMED_WAITING)
结束(TERMINATED)

线程在各个状态的流转图见如下,

thread_status

代码样例

代码仓库地址:http://git.oschina.net/pphh/tools,可以通过如下git clone命令获取仓库代码,

git clone git@git.oschina.net:pphh/tools.git

上述代码样例在文件路径tools\java\multithread中。