jwt《token》
2024-10-21 12:48:59
payload与claims只能存在一个
这部分是jwt源码:
依赖如下:官方文档的依赖
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt-api</artifactId>
<version>0.11.2</version>
</dependency>
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt-impl</artifactId>
<version>0.11.2</version>
</dependency>
<dependency>
<groupId>io.jsonwebtoken </groupId >
<artifactId>jjwt-jackson </artifactId >
<version>0.11.2</version>
</dependency>
2020-11-1217:17:43
@Override
public String compact() { if (this.serializer == null) {
// try to find one based on the services available
// TODO: This util class will throw a UnavailableImplementationException here to retain behavior of previous version, remove in v1.0
// use the previous commented out line instead
this.serializer = LegacyServices.loadFirst(Serializer.class);
} if (payload == null && Collections.isEmpty(claims)) {//判断空
payload = "";
} if (payload != null && !Collections.isEmpty(claims)) {//判断空
throw new IllegalStateException("Both 'payload' and 'claims' cannot both be specified. Choose either one.");
} Header header = ensureHeader(); JwsHeader jwsHeader;
if (header instanceof JwsHeader) {//判断header类型
jwsHeader = (JwsHeader) header;
} else {
//noinspection unchecked
jwsHeader = new DefaultJwsHeader(header);
} if (key != null) { //判断加密方式
jwsHeader.setAlgorithm(algorithm.getValue());
} else {
//no signature - plaintext JWT:
jwsHeader.setAlgorithm(SignatureAlgorithm.NONE.getValue());
} if (compressionCodec != null) {
jwsHeader.setCompressionAlgorithm(compressionCodec.getAlgorithmName());
}
//header进行base64加密
String base64UrlEncodedHeader = base64UrlEncode(jwsHeader, "Unable to serialize header to json.");
//绿色部分表示payload转化base64加密成字节数组进行一次压缩
byte[] bytes;
try {
bytes = this.payload != null ? payload.getBytes(Strings.UTF_8) : toJson(claims);
} catch (SerializationException e) {
throw new IllegalArgumentException("Unable to serialize claims object to json: " + e.getMessage(), e);
} if (compressionCodec != null) {
bytes = compressionCodec.compress(bytes);
}
//对payload压缩后的租界数组再来一次base64加密
String base64UrlEncodedBody = base64UrlEncoder.encode(bytes);
//签名拼接
String jwt = base64UrlEncodedHeader + JwtParser.SEPARATOR_CHAR + base64UrlEncodedBody;
// 加密的key再次判断为不为空
if (key != null) { //jwt must be signed:
//签名与拼接
JwtSigner signer = createSigner(algorithm, key); String base64UrlSignature = signer.sign(jwt); jwt += JwtParser.SEPARATOR_CHAR + base64UrlSignature;
} else {
// no signature (plaintext), but must terminate w/ a period, see
// https://tools.ietf.org/html/draft-ietf-oauth-json-web-token-25#section-6.1
jwt += JwtParser.SEPARATOR_CHAR;
} return jwt;
}
个人模拟加密流程:
//0 原始签名
String header0 = "{\"alg\":\"HS256\"}";
String claims0 = "{\"sub\":\"wangbiao\",\"aud\":\"wangbiao\"}"; Encoder<byte[], String> base64UrlEncoder = Encoders.BASE64URL;
String hed =base64UrlEncoder.encode(header0.getBytes("UTF-8")); Map map= (Map) JSON.parse(claims0);
Serializer<Map<String,?>> serializer= LegacyServices.loadFirst(Serializer.class);
byte[] clambyte0= serializer.serialize(map); /**
* payload为空String方法转化字节数组,不然转化JSON序列化,默认payload为null 即上面的序列化
* bytes = this.payload != null ? payload.getBytes(Strings.UTF_8) : toJson(claims);
* byte [] claimbyte=claims0.getBytes("UTF-8");
*/ /**
* 默认jwt不需要压缩
* DeflateCompressionCodeWb deflateCompressionCodecss=new DeflateCompressionCodeWb();
* claims压缩字节
* byte[] clambyte1 =deflateCompressionCodecss.doCompress(clambyte0);
*/ // KeyPair keyPair = Keys.keyPairFor(SignatureAlgorithm.RS256);
//签名key
SecretKey key = Keys.secretKeyFor(SignatureAlgorithm.HS256); //字节在编码
String cla= base64UrlEncoder.encode(clambyte0);
String concatenated= hed+'.'+cla; //签名方式
SignatureAlgorithm algorithm=SignatureAlgorithm.HS256; JwtSigner defaultJwtBuilder=new DefaultJwtSigner(algorithm,key,base64UrlEncoder); String base64UrlSignature = defaultJwtBuilder.sign(concatenated);
String sss= concatenated+'.'+base64UrlSignature;
// System.out.println(sss);
//验签
System.out.println(Jwts.parserBuilder().setSigningKey(key).build().parseClaimsJws(sss));
利用jwt封装的方法:
//2设置token方式二 设置头
Header header = new DefaultHeader();
header.put("alg", "HS256");
// //header设置方式1 设置map
Map<String, Object> claims = new HashMap<>();
claims.put("aud", "wangbiao");
claims.put("sub", "wangbiao");
String jwss = Jwts.builder()
.setHeader((Map<String, Object>) header)
.setClaims(claims)
.signWith(key)
.compact();
// System.out.println(jwss);
//验签
System.out.println(Jwts.parserBuilder().setSigningKey(key).build().parseClaimsJws(jwss));
个人jwt生成结果:
eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJ3YW5nYmlhbyIsImF1ZCI6IndhbmdiaWFvIn0.Lxso52KaEnj_a7mYAoH0eoPisIpCo_2sBihmf7sHxGw
jwt封装生成结果:
eyJhbGciOiJIUzI1NiJ9.eyJhdWQiOiJ3YW5nYmlhbyIsInN1YiI6IndhbmdiaWFvIn0.weI8QvS16782iZR6Hb3k3kYExmpSyax0a-KRzfG-vFc
可以看出最后签名不一致
个人jwt验签解析:
header={alg=HS256},body={sub=wangbiao, aud=wangbiao},signature=Lxso52KaEnj_a7mYAoH0eoPisIpCo_2sBihmf7sHxGw
jwt封装眼前解析:
header={alg=HS256},body={aud=wangbiao, sub=wangbiao},signature=weI8QvS16782iZR6Hb3k3kYExmpSyax0a-KRzfG-vFc
思考:通过追踪源码:发现默认情况下payload没有进行压缩
即没有进行如下操作:
if (compressionCodec != null) {
bytes = compressionCodec.compress(bytes);
}
payload为bull进行字符String转化为字节数组,不然转化为转化为tojSON(claims)序列化
bytes = this.payload != null ? payload.getBytes(Strings.UTF_8) : toJson(claims);
header正常进行base64加密
猜想:我此处使用main方法测试,同一个线程下jwt签名具有不可重复,或者jwt默认就是签名不可重复
header={alg=HS256},body={aud=wangbiao, sub=wangbiao},signature=weI8QvS16782iZR6Hb3k3kYExmpSyax0a-KRzfG-vFc
官方文档有如下说明:意思就是如果在一个系统中使用不同的key需要自己重写,密匙解析器,好处就是方便不同的业务使用不同的加密方法,利用适配器的思想解决不同类型的key从而进行验签
:看源码太累,有哪位大神按照如下思路出个方案,共同进步
签名密钥分解器
如果您的应用程序期望使用不同的键签名的JWSs,您就不会调用setSigningKey方法。相反,您需要实现SigningKeyResolver接口,并通过setSigningKeyResolver方法在JwtParserBuilder上指定一个实例。
例如:
SigningKeyResolver signingKeyResolver = getMySigningKeyResolver(); Jwts.parserBuilder () .setSigningKeyResolver (signingKeyResolver) / / <— .build ()
.parseClaimsJws (jwsString);
通过扩展SigningKeyResolverAdapter并实现resolveSigningKey(JwsHeader, Claims)方法,可以简化一些事情。例如:
public class MySigningKeyResolver extends SigningKeyResolverAdapter { @Override
public Key resolveSigningKey(JwsHeader jwsHeader, Claims claims) {
// implement me
}
}
JwtParser将在解析JWS JSON之后,但在验证JWS签名之前调用resolveSigningKey方法。这允许您检查JwsHeader并声明任何可以帮助您查找用于验证特定jws的键的信息。这对于具有更复杂安全模型的应用程序非常强大,这些应用程序可能在不同的时间使用不同的密钥,或者针对不同的用户或客户。
您可能会检查哪些数据?
JWT规范支持的方法是在创建JWS时在JWS头部设置一个kid (Key ID)字段,例如: getSigningKey(); getKeyId(signingKey);//任何将密钥与ID关联的机制都可以 jws .builder() .setHeaderParam (JwsHeader。KEY_ID, keyId) // 1 .signWith (signingKey) / / 2 .compact ();
然后在解析期间,SigningKeyResolver可以检查JwsHeader以获取kid,然后使用该值从某个地方(比如数据库)查找键。例如:
public class MySigningKeyResolver extends SigningKeyResolverAdapter { @Override
public Key resolveSigningKey(JwsHeader jwsHeader, Claims claims) { //inspect the header or claims, lookup and return the signing key String keyId = jwsHeader.getKeyId(); //或任何其他字段,你需要检查
Key key = lookupVerificationKey(keyId); //实现我 return key;
}
}
注意,检查jwsHeader.getKeyId()只是查找键的最常见方法—您可以检查任意数量的头字段或声明,以确定如何查找验证键。这完全取决于JWS是如何创建的。
最后请记住,对于HMAC算法,返回的验证密钥应该是一个秘钥,而对于非对称算法,返回的密钥应该是一个公钥(而不是一个私钥)。
最新文章
- 移动端接口:java写get方式访问数据(springmvc+spring。。。)
- Atom插件安装
- ERROR 1130: Host ’...′ is not allowed to connect to this MySQL server
- 【KVM】Ubuntu14.04 安装KVM
- HeadFirst Jsp 06 (会话管理)
- Codeforces Round #271 (Div. 2)
- iOS之RunTime浅谈
- Bootstrap_表单_按钮
- Sql Sever 字符串截取汉字
- Atitit.列表页and查询条件的最佳实践(1)------设定搜索条件and提交查询and返回json数据
- HTML基金会2----联系,像, 第,对齐
- accp8.0转换教材第2章初识MySQL
- JAVA提高六:泛型
- python写mapReduce初步
- 洗礼灵魂,修炼python(68)--爬虫篇—番外篇之webbrowser模块
- 使用idea创建springboot项目并打成war包发布到tomcat8上
- 26. SpringBoot 初识缓存及 SimpleCacheConfiguration源码解析
- 分布式缓存技术redis系列(二)——详细讲解redis数据结构(内存模型)以及常用命令
- (笔记)Mysql命令insert into:向表中插入数据(记录)
- 【BZOJ1417】Pku3156 Interconnect 记忆化搜索