原文 ： How token-based authentication works

令牌认证机制的工作原理

客户端发送一个“硬凭证”（例如用户名和密码）到服务器，服务器返回一段数据作为令牌，之后客户端与服务端之间通讯的时候则会以令牌代替硬凭证。这就是基于令牌的认证机制。

简单来说，基于令牌的认证机制流程如下：

1. 客户端发送凭证（例如用户名和密码）到服务器。
2. 服务器验证凭证是否有效，并生成一个令牌。
3. 服务器把令牌连同用户信息和令牌有效期存储起来。
4. 服务器发送生成好的令牌到客户端。
5. 在接下来的每次请求中，客户端都会发送令牌到服务器
6. 服务器会从请求中取出令牌，并根据令牌作鉴权操作
   • 如果令牌有效，服务器接受请求。
   • 如果令牌无效，服务器拒绝请求。
7. 服务器可能会提供一个接口去刷新过期的令牌

你可以利用 JAX-RS 2.0 干些什么(Jersey, RESTEasy 和 Apache CXF)

下面的示例只使用了 JAX-RS 2.0 的API，没有用到其他的框架。所以能够在 Jersey、RESTEasy 和 Apache CXF 等 JAX-RS 2.0 实现中正常工作。

需要特别提醒的是，如果你要用基于令牌的认证机制，你将不依赖任何由 Servlet 容器提供的标准 Java EE Web 应用安全机制。

通过用户名和密码认证用户并颁发令牌

创建一个用于验证凭证（用户名和密码）并生成用户令牌的方法：

@Path("/authentication")
public class AuthenticationEndpoint {

    @POST
    @Produces("application/json")
    @Consumes("application/x-www-form-urlencoded")
    public Response authenticateUser(@FormParam("username") String username, 
                                     @FormParam("password") String password) {

        try {

            // Authenticate the user using the credentials provided
            authenticate(username, password);

            // Issue a token for the user
            String token = issueToken(username);

            // Return the token on the response
            return Response.ok(token).build();

        } catch (Exception e) {
            return Response.status(Response.Status.UNAUTHORIZED).build();
        }      
    }

    private void authenticate(String username, String password) throws Exception {
        // Authenticate against a database, LDAP, file or whatever
        // Throw an Exception if the credentials are invalid
    }

    private String issueToken(String username) {
        // Issue a token (can be a random String persisted to a database or a JWT token)
        // The issued token must be associated to a user
        // Return the issued token
    }
}

如果在验证凭证的时候有任何异常抛出，会返回 401 UNAUTHORIZED 状态码。

如果成功验证凭证，将返回 200 OK 状态码并返回处理好的令牌给客户端。客户端必须在每次请求的时候发送令牌。

你希望客户端用如下格式发送凭证的话：

username=admin&password=123456

你可以用一个类来包装一下用户名和密码，毕竟直接用表单可能比较麻烦：

public class Credentials implements Serializable {

    private String username;
    private String password;

    // Getters and setters omitted
}

或者使用 JSON ：

@POST
@Produces("application/json")
@Consumes("application/json")
public Response authenticateUser(Credentials credentials) {

    String username = credentials.getUsername();
    String password = credentials.getPassword();

    // Authenticate the user, issue a token and return a response
}

然后客户端就能用这种形式发送凭证了：

{
  "username": "admin",
  "password": "123456"
}

从请求中取出令牌并验证

客户端需要在发送的 HTTP 请求头中的 Authorization 处写入令牌。

Authorization: Bearer <token-goes-here>

需要注意的是，标准 HTTP 头里的这个名字是不对的，因为它存储的是认证信息（authentication）而不是授权（authorization）。

JAX-RS 提供一个叫 @NameBinding 的元注解来给拦截器和过滤器创建命名绑定注解。

@NameBinding
@Retention(RUNTIME)
@Target({TYPE, METHOD})
public @interface Secured { }

@Secured 将会用来标记在实现了 ContainerRequestFilter 的类（过滤器）上以处理请求。 ContainerRequestContext 可以帮你把令牌从 HTTP 请求中拿出来。

@Secured
@Provider
@Priority(Priorities.AUTHENTICATION)
public class AuthenticationFilter implements ContainerRequestFilter {

    @Override
    public void filter(ContainerRequestContext requestContext) throws IOException {

        // Get the HTTP Authorization header from the request
        String authorizationHeader = 
            requestContext.getHeaderString(HttpHeaders.AUTHORIZATION);

        // Check if the HTTP Authorization header is present and formatted correctly 
        if (authorizationHeader == null || !authorizationHeader.startsWith("Bearer ")) {
            throw new NotAuthorizedException("Authorization header must be provided");
        }

        // Extract the token from the HTTP Authorization header
        String token = authorizationHeader.substring("Bearer".length()).trim();

        try {

            // Validate the token
            validateToken(token);

        } catch (Exception e) {
            requestContext.abortWith(
                Response.status(Response.Status.UNAUTHORIZED).build());
        }
    }

    private void validateToken(String token) throws Exception {
        // Check if it was issued by the server and if it's not expired
        // Throw an Exception if the token is invalid
    }
}

如果在验证令牌的时候有任何异常抛出，会返回 401 UNAUTHORIZED 状态码。

如果验证成功，则会调用被请求的方法。

给 RESTful 接口增加安全措施

把之前写好的 @Secure 注解打在你的方法或者类上，就能把过滤器绑定上去了。被打上注解的类或者方法都会触发过滤器，也就是说这些接口只有在通过了鉴权之后才能被执行。

如果有些方法或者类不需要鉴权，不打注解就行了。

@Path("/")
public class MyEndpoint {

    @GET
    @Path("{id}")
    @Produces("application/json")
    public Response myUnsecuredMethod(@PathParam("id") Long id) {
        // This method is not annotated with @Secured
        // The authentication filter won't be executed before invoking this method
        ...
    }

    @DELETE
    @Secured
    @Path("{id}")
    @Produces("application/json")
    public Response mySecuredMethod(@PathParam("id") Long id) {
        // This method is annotated with @Secured
        // The authentication filter will be executed before invoking this method
        // The HTTP request must be performed with a valid token
        ...
    }
}

在上面的例子里，过滤器只会在 mySecuredMethod(Long) 被调用的时候触发（因为打了注解嘛）。

验证当前用户

你很有可能会需要知道是哪个用户在请求你的 RESTful 接口，接下来的方法会比较有用：

重载 SecurityContext

通过使用 ContainerRequestFilter.filter(ContainerRequestContext) 这个方法，你可以给当前请求设置新的安全上下文（Secure Context）。

重载 SecurityContext.getUserPrincipal() ，返回一个 Principal 实例。

Principal 的名字（name）就是令牌所对应的用户名（usrename）。当你验证令牌的时候会需要它。

requestContext.setSecurityContext(new SecurityContext() {

    @Override
    public Principal getUserPrincipal() {

        return new Principal() {

            @Override
            public String getName() {
                return username;
            }
        };
    }

    @Override
    public boolean isUserInRole(String role) {
        return true;
    }

    @Override
    public boolean isSecure() {
        return false;
    }

    @Override
    public String getAuthenticationScheme() {
        return null;
    }
});

注入 SecurityContext 的代理到 REST 接口类里。

@Context
SecurityContext securityContext;

在方法里做也是可以的。

@GET
@Secured
@Path("{id}")
@Produces("application/json")
public Response myMethod(@PathParam("id") Long id, 
                         @Context SecurityContext securityContext) {
    ...
}

获取 Principal

Principal principal = securityContext.getUserPrincipal();
String username = principal.getName();

使用 CDI （Context and Dependency Injection）

如果因为某些原因你不想重载 SecurityContext 的话，你可以使用 CDI ，它能提供很多诸如事件和提供者（producers）。

创建一个 CDI 限定符用来处理认证事件以及把已认证的用户注入到 bean 里。

@Qualifier
@Retention(RUNTIME)
@Target({ METHOD, FIELD, PARAMETER })
public @interface AuthenticatedUser { }

在 AuthenticationFilter 里注入一个 Event

@Inject
@AuthenticatedUser
Event<String> userAuthenticatedEvent;

当认证用户的时候，以用户名作为参数去触发事件（注意，令牌必须已经关联到用户，并且能通过令牌查出用户名）

userAuthenticatedEvent.fire(username);

一般来说在应用里会有一个 User 类去代表用户。下面的代码处理认证事件，通过用户名去查找一个用户且赋给 authenticatedUser

@RequestScoped
public class AuthenticatedUserProducer {

    @Produces
    @RequestScoped
    @AuthenticatedUser
    private User authenticatedUser;

    public void handleAuthenticationEvent(@Observes @AuthenticatedUser String username) {
        this.authenticatedUser = findUser(username);
    }

    private User findUser(String username) {
        // Hit the the database or a service to find a user by its username and return it
        // Return the User instance
    }
}

authenticatedUser 保存了一个 User 的实例，便于注入到 bean 里面（例如 JAX-RS 服务、CDI beans、servlet 以及 EJBs）

@Inject
@AuthenticatedUser
User authenticatedUser;

要注意 CDI @Produces 注解和 JAX-RS 的 @Produces 注解是不同的

• CDI : javax.enterprise.inject.Produces
• JAX-RS : java.ws.rs.Produces

支持基于角色的权限认证

除了认证，你还可以让你的 RESTful API 支持基于角色的权限认证（RBAC）。

创建一个枚举，并根据你的需求定义一些角色：

public enum Role {
    ROLE_1,
    ROLE_2,
    ROLE_3
}

针对 RBAC 改变一下 @Secured 注解：

@NameBinding
@Retention(RUNTIME)
@Target({TYPE, METHOD})
public @interface Secured {
    Role[] value() default {};
}

给方法打上注解，这样就能实现 RBAC 了。

注意 @Secured 注解可以在类以及方法上使用。接下来的例子演示一下方法上的注解覆盖掉类上的注解的情况：

@Path("/example")
@Secured({Role.ROLE_1})
public class MyEndpoint {

    @GET
    @Path("{id}")
    @Produces("application/json")
    public Response myMethod(@PathParam("id") Long id) {
        // This method is not annotated with @Secured
        // But it's declared within a class annotated with @Secured({Role.ROLE_1})
        // So it only can be executed by the users who have the ROLE_1 role
        ...
    }

    @DELETE
    @Path("{id}")    
    @Produces("application/json")
    @Secured({Role.ROLE_1, Role.ROLE_2})
    public Response myOtherMethod(@PathParam("id") Long id) {
        // This method is annotated with @Secured({Role.ROLE_1, Role.ROLE_2})
        // The method annotation overrides the class annotation
        // So it only can be executed by the users who have the ROLE_1 or ROLE_2 roles
        ...
    }
}

使用 AUTHORIZATION 优先级创建一个过滤器，它会在先前定义的过滤器之后执行。

ResourceInfo 可以用来获取到匹配请求 URL 的 类 以及 方法 ，并且把注解提取出来。

@Secured
@Provider
@Priority(Priorities.AUTHORIZATION)
public class AuthorizationFilter implements ContainerRequestFilter {

    @Context
    private ResourceInfo resourceInfo;

    @Override
    public void filter(ContainerRequestContext requestContext) throws IOException {

        // Get the resource class which matches with the requested URL
        // Extract the roles declared by it
        Class<?> resourceClass = resourceInfo.getResourceClass();
        List<Role> classRoles = extractRoles(resourceClass);

        // Get the resource method which matches with the requested URL
        // Extract the roles declared by it
        Method resourceMethod = resourceInfo.getResourceMethod();
        List<Role> methodRoles = extractRoles(resourceMethod);

        try {

            // Check if the user is allowed to execute the method
            // The method annotations override the class annotations
            if (methodRoles.isEmpty()) {
                checkPermissions(classRoles);
            } else {
                checkPermissions(methodRoles);
            }

        } catch (Exception e) {
            requestContext.abortWith(
                Response.status(Response.Status.FORBIDDEN).build());
        }
    }

    // Extract the roles from the annotated element
    private List<Role> extractRoles(AnnotatedElement annotatedElement) {
        if (annotatedElement == null) {
            return new ArrayList<Role>();
        } else {
            Secured secured = annotatedElement.getAnnotation(Secured.class);
            if (secured == null) {
                return new ArrayList<Role>();
            } else {
                Role[] allowedRoles = secured.value();
                return Arrays.asList(allowedRoles);
            }
        }
    }

    private void checkPermissions(List<Role> allowedRoles) throws Exception {
        // Check if the user contains one of the allowed roles
        // Throw an Exception if the user has not permission to execute the method
    }
}

如果用户没有权限去执行这个方法，请求会被跳过，并返回 403 FORBIDDEN。

重新看看上面的部分，即可明白如何获知是哪个用户在发起请求。你可以从 SecurityContext 处获取发起请求的用户（指已经被设置在 ContainerRequestContext 的用户），或者通过 CDI 注入用户信息，这取决于你的情况。

如果没有传递角色给 @Secured 注解，则所有的令牌通过了检查的用户都能够调用这个方法，无论这个用户拥有什么角色。

如何生成令牌

令牌可以是不透明的，它不会显示除值本身以外的任何细节（如随机字符串），也可以是自包含的（如JSON Web Token）。

随机字符串

可以通过生成一个随机字符串，并把它连同有效期、关联的用户储存到数据库。下面这个使用 Java 生成随机字符串的例子就比较好：

Random random = new SecureRandom();
String token = new BigInteger(130, random).toString(32);

Json Web Token (JWT)

JSON Web Token (JWT) 是 RFC 7519 定义的，用于在双方之间安全地传递信息的标准方法。它不仅只是自包含的令牌，而且它还是一个载体，允许你储存用户标识、有效期以及其他信息（除了密码）。 JWT 是一段用 Base64 编码的 JSON。

这个载体能够被客户端读取，且可以让服务器方便地通过签名校验令牌的有效性。

如果你不需要跟踪令牌，那就不需要存储 JWT 令牌。当然，储存 JWT 令牌可以让你控制令牌的失效与重新颁发。如果既想跟踪 JWT 令牌，又不想存储它们，你可以存储令牌标识（ jti 信息）和一些元数据（令牌颁发给哪个用户，有效期等等）。

有用于颁发以及校验 JWT 令牌的 Java 库（例如 这个 以及 这个 ）。如果需要找 JWT 相关的资源，可以访问 http://jwt.io。

你的应用可以提供用于重新颁发令牌的功能，建议在用户重置密码之后重新颁发令牌。

记得删除旧的令牌，不要让它们一直占用数据库空间。

一些建议

• 不管你用的是哪一类型的认证方式，切记要使用 HTTPS ，以防中间人攻击。
• 关于信息安全的更多内容，请查阅 这个 问题。
• 在 这篇文章 里，你可以找到一些与基于令牌的认证机制相关的内容。
• Apache DeltaSpike 提供如 security module 之类的可用于保护 REST 应用的轻量级的 CDI 扩展。
• 对 OAuth 2.0 协议的 Java 实现感兴趣？你可以看看 Apache Oltu project 。