JWT –生成和验证令牌–示例

最新推荐文章于 2024-08-16 08:00:49 发布
最新推荐文章于 2024-08-16 08:00:49 发布
阅读量2k 收藏 2
点赞数 2
文章标签: json jwt 加密解密 gson google
本文介绍了如何使用Nimbus JOSE + JWT库来生成和验证JWT(JSON Web Tokens)。首先解释了JWT的基本概念,然后展示了如何生成RSA密钥对,并使用这些密钥对创建包含声明的JWT。最后,文章提到了JWT的验证过程,并提供了相关代码示例。
摘要由CSDN通过智能技术生成

JWT提供了一种非常有趣的方式来表示可以验证和信任的应用程序之间的声明。 我的目标是展示一个小的样本,它使用出色的Nimbus JOSE + JWT库来生成和验证令牌。

总览

进行介绍的最佳地点之一是这里 。 简而言之,要从jwt.io网站的资料中借用,声明将表示为一个编码的json,分为三部分,并用点(。)分隔。 

header.payload.signature

标头是json,其中包含用于对内容进行签名的算法类型(在本例中为RSA),然后对内容进行url和Base64编码: 

{
  "alg": "RS512"
}

负载是一个包含所有声明的json,有保留的声明,但也允许私有声明: 

{
  "sub": "samplesubject",
  "name": "John Doe",
  "iss": "sampleissueer",
  "admin": true,
  "exp": 1451849539
}

这里的“ sub”(主题),“ iss”(发布者)和“ exp”(到期)是保留的权利要求,而“ name”和“ admin”是私人权利要求。 然后对内容进行Base64Url编码。

最后,标头和有效负载一起使用共享密钥或私钥进行签名,并且签名经过Base64 url​​编码,并使用(。)分隔符附加到令牌中。

生成密钥对

我的样本是基于RSA的样本,因此第一步是生成密钥对。 JWK是一种将密钥存储为JSON表示形式的灵巧方法,Nimbus库对此提供了支持: 

import java.security.KeyPairGenerator
import java.security.interfaces.{RSAPrivateKey, RSAPublicKey}

import com.google.gson.{GsonBuilder, JsonElement, JsonParser}
import com.nimbusds.jose.Algorithm
import com.nimbusds.jose.jwk.{JWKSet, KeyUse, RSAKey}

object JWKGenerator {

  def make(keySize: Integer, keyUse: KeyUse, keyAlg: Algorithm, keyId: String) = {
    val generator = KeyPairGenerator.getInstance("RSA")
    generator.initialize(keySize)
    val kp = generator.generateKeyPair()
    val publicKey = kp.getPublic().asInstanceOf[RSAPublicKey]
    val privateKey = kp.getPrivate().asInstanceOf[RSAPrivateKey]
    new RSAKey.Builder(publicKey)
      .privateKey(privateKey)
      .keyUse(keyUse)
      .algorithm(keyAlg)
      .keyID(keyId)
      .build()
  }
 ...

}

给定这个密钥对,可以使用Gson从中生成一个JWK: 

def generateJWKKeypair(rsaKey: RSAKey): JsonElement = {
    val jwkSet = new JWKSet(rsaKey)
    new JsonParser().parse(jwkSet.toJSONObject(false).toJSONString)
  }

  def generateJWKJson(rsaKey: RSAKey): String = {
    val jsonElement  = generateJWKKeypair(rsaKey)
    val gson = new GsonBuilder().setPrettyPrinting().create()
    gson.toJson(jsonElement)
  }

一个基于JWK的示例密钥对如下所示: 

{
  "keys": [
    {
      "p": "2_Fb6K50ayAsnnQl55pPegE_JNTeAjpDo9HThZPp6daX7Cm2s2fShtWuM8JBv42qelKIrypAAVOedLCM75VoRQ",
      "kty": "RSA",
      "q": "ye5BeGtkx_9z3V4ImX2Pfljhye7QT2rMhO8chMcCGI4JGMsaDBGUmGz56MHvWIlcqBcYbPXIWORidtMPdzp1wQ",
      "d": "gSjAIty6uDAm8ZjEHUU4wsJ8VVSJInk9iR2BSKVAAxJUQUrCVN---DKLr7tCKgWH0zlV0DjGtrfy7pO-5tcurKkK59489mOD4-1kYvnqSZmHC_zF9IrCyZWpOiHnI5VnJEeNwRz7EU8y47NjpUHWIaLl_Qsu6gOiku41Vpb14QE",
      "e": "AQAB",
      "use": "sig",
      "kid": "sample",
      "qi": "0bbcYShpGL4XNhBVrMI8fKUpUw1bWghgoyp4XeZe-EZ-wsc43REE6ZItCe1B3u14RKU2J2G57Mi9f_gGIP_FqQ",
      "dp": "O_qF5d4tQUl04YErFQ2vvsW4QoMKR_E7oOEHndXIZExxAaYefK5DayG6b8L5yxMG-nSncZ1D9ximjYvX4z4LQQ",
      "alg": "RS512",
      "dq": "jCy-eg9i-IrWLZc3NQW6dKTSqFEFffvPWYB7NZjIVa9TlUh4HmSd2Gnd2bu2oKlKDs1pgUnk-AAicgX1uHh2gQ",
      "n": "rX0zzOEJOTtv7h39VbRBoLPQ4dRutCiRn5wnd73Z1gF_QBXYkrafKIIvSUcJbMLAozRn6suVXCd8cVivYoq5hkAmcRiy0v7C4VuB1_Fou7HHoi2ISbwlv-kiZwTmXCn9YSHDBVivCwfMI87L2143ZfYUcNxNTxPt9nY6HJrtJQU"
    }
  ]
}

生成JWT

现在我们有了一个很好的示例密钥对,请加载私钥和公钥: 

import java.time.{LocalDateTime, ZoneOffset}
import java.util.Date

import com.nimbusds.jose._
import com.nimbusds.jose.crypto._
import com.nimbusds.jose.jwk.{JWKSet, RSAKey}
import com.nimbusds.jwt.JWTClaimsSet.Builder
import com.nimbusds.jwt._

object JwtSample {
  def main(args: Array[String]): Unit = {
    val jwkSet = JWKSet.load(JwtSample.getClass.getResource("/sample.json").toURI.toURL)
    val jwk = jwkSet.getKeyByKeyId("sample").asInstanceOf[RSAKey]

    val publicKey = jwk.toRSAPublicKey
    val privateKey = jwk.toRSAPrivateKey
 ...
}

构建有效负载,对其进行签名并生成JWT: 

val claimsSetBuilder = new Builder()
      .subject("samplesubject")
      .claim("name", "John Doe")
      .claim("admin", true)
      .issuer("sampleissueer")
      .expirationTime(Date.from(LocalDateTime.now().plusHours(1).toInstant(ZoneOffset.UTC)))

    val signer = new RSASSASigner(privateKey)


    val signedJWT: SignedJWT = new SignedJWT(
      new JWSHeader(JWSAlgorithm.RS512),
      claimsSetBuilder.build())

    signedJWT.sign(signer)

    val s = signedJWT.serialize()

该JWT的使用者可以读取有效负载并使用公共密钥对其进行验证: 

val cSignedJWT = SignedJWT.parse(s)

    val verifier = new RSASSAVerifier(publicKey)

    println(cSignedJWT.verify(verifier))
    println(signedJWT.getJWTClaimsSet().getSubject())

结论

该样本完全基于Nimbus JOSE + JWT网站上提供的样本,如果您有兴趣进一步研究此内容,则绝对应参考Nimbus网站。

翻译自: https://www.javacodegeeks.com/2016/01/jwt-generating-validating-token-samples.html

dnc8371
关注
16-Spring Security中的JOSE类库
码农小胖哥
03-17 4373
前面对JOSE规范进行了科普,今天我们来实践一波。Java庞大的生态圈自然也少不了对JOSE的支持。 本文DEMO:https://gitee.com/felord/spring-security-oauth2-tutorial jose 分支。 Nimbus-JOSE-JWT 很多教程会使用jjwt作为JWT的集成类库,它很精湛,对于JWT应该是够用了。但是如果要结合OAuth2的话,它远远不够。这里我推荐使用connect2id开源的nimbus-jose-jwt,功能齐全,API友好。更重
JWT Token生成验证(源码)
04-12
头部和载荷都是JSON对象,经过Base64编码,而签名则是通过编码后的头部和载荷与一个密钥(secret)进行哈希运算得到,用于验证令牌的完整性和来源。 2. 头部(Header): 头部通常包含了令牌的类型(typ)和算法...
json web token登录
programmeryu的博客
01-18 5666
1.引入jar包 2.jwt加密得到token,解密获取登录信息 package com.baosight.JWT.tool; import java.text.ParseException; import java.util.Map; import net.minidev.json.JSONObject; import com.nimbusds.jose.JOSEExc
JSON Web Token (JWT): 理解与应用
最新发布
yuanchun的知识整理
08-16 1334
JSON Web Token (JWT)
keycloak界面配置及认证流程详解
热门推荐
qq_33430322的博客
04-30 2万+
界面上的字段和一些术语不懂的话可以自己百度。由于https需要证书不方便postman展示,所以使用http keycloak设置master登录用户 keycloak 管理界面 keycloak 获取用户token 创建我们自己的域 添加域的用户 设置密码 创建client(普通用户登录 设置public) 查看openid配置详情 接口:http://local...
JWT详解及Golang实现
Korbin的博客
02-23 5481
文章目录1.背景2.概述3.组成3.1 Header3.2 Payload3.3 Signature4.令牌的校验5.续期方案5.1 方案15.2 方案26.Token总结7.Golang代码实现 1.背景 HTTP协议是一种无状态的协议,这意味着用户提供账号和密码进行登录认证后,下次再请求的时候,仍然需要认证,因为服务器并不知道是谁发送的请求,并不知道该用户已经认证过一次。   所以为了解决这一问题,保持客户端与服务端的会话状态,在服务器的缓存中需要为每位用户分配一份存储空间,用于存储用户的个人登录信息
基于JWT+拦截器实现用户登录拦截
qq_43375881的博客
01-19 1604
基于JWT+拦截器实现用户登录拦截 首先是maven依赖 <dependency> <groupId>com.nimbusds</groupId> <artifactId>nimbus-jose-jwt</artifactId> <version>6.0</version> </dependency> 然后是JwtUti
JWT Token生成验证
07-16
JSON Web Token(JWT)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为一...通过`JWTToken`这个压缩包文件,你可能可以找到更多关于JWT在C#中的具体实现示例和最佳实践。
vue+egg+jwt实现登录验证示例代码
10-16
这个过程涉及了前端如何发送请求、如何处理响应、后端如何验证令牌的有效性,并且在客户端使用cookie来存储和传输令牌。通过使用JSON Web Tokens,可以实现一种轻量级的认证机制,它适合在分布式系统中传递声明。...
SpringBoot使用JWT实现登录验证的方法示例
08-25
4. **生成验证JWT**: 当用户成功登录后,服务器会生成一个JWT,其中包含用户信息,如用户名、角色等。JWT由三部分组成:Header(头部)、Payload(负载)和Signature(签名)。Header和Payload通常使用Base64...
Angular之jwt令牌身份验证的实现
11-21
标题中的“Angular之jwt令牌身份验证的实现”指的是在Angular应用程序中使用JSON Web Token (JWT)进行用户身份...开发者需要理解JWT的结构、生成验证过程,以及与传统session认证的差异,才能有效地实施JWT身份验证
JwtToken生成及认证过程
flylr^的博客
05-27 2650
什么是JWT 要了解jwt生成验证,首先要了解什么是jwtjwtjson web token的缩写,是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准,该token被设计紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。jwt的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其他业务逻辑所必需的声明信息,该token也可以直接被用于认证,也可以被加密。 JWT jwt是由三段信息通过点号拼接而成,例如:
apple内购,访问apple服务器jwt生成问题(java)
ShiningSilver的博客
12-02 1258
apple内购,访问apple服务器jwt生成问题(java)
JWT基础教程
我有故人折剑去,斩尽春风不曾归
03-24 644
有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如tomcat中的session。例如登录:用户登录后,我们把登录者的信息保存在服务端session中,并且给用户一个cookie值,记录对应的session。然后下次请求,用户携带cookie值来,我们就能识别到对应session,从而找到用户的信息。缺点是什么?服务端保存大量数据,增加服务端压力服务端保存用户状态,无法进行水平扩展客户端请求依赖服务端,多次请求必须访问同一台服务器。
SpringBoot 最新版3.x 集成 OAuth 2.0 实现认证授权服务、第三方应用客户端以及资源服务
2301_77463738的博客
06-27 3119
Spring Boot 3已经发布一段时间,网上关于Spring Boot 3的资料不是很多,本着对新技术的热情,学习和研究了大量Spring Boot 3新功能和新特性,感兴趣的同学可以参考Spring官方资料全面详细的新功能/新改进介绍Spring版本升级到6.xJDK版本至少17+新特性有很多,本文主要针对OAuth 2.0的集成,如果快速开发自己的认证授权服务、OAuth客户端以及资源服务新建三个服务,分别对应认证授权服务、OAuth客户端以及资源服务。
JWT介绍及使用
qq_45240568的博客
12-10 1385
本文将介绍一下JWT,希望看完对你有所帮助
Java解析idToken
JonTang的博客
06-20 1062
使用Java解析idToken
SpringBoot 使用jwt进行身份验证
weixin_39643007的博客
05-16 2319
1.在pom.xml中导入jwt包 <!-- 添加JWT计算Token --> <dependency> <groupId>com.nimbusds</groupId> <artifactId>nimbus-jose-jwt</artifactId> <ve...
微服务安全Spring Security Oauth2实战
xnxqwzy的博客
04-01 1979
Authorization)是一种开放标准的授权协议,允许用户授权第三方应用访问其在某个服务提供者上的受保护资源,而无需将其实际的凭证(如用户名和密码)分享给第三方应用。这种方式可以增加安全性,同时允许用户更好地控制其数据的访问权限。OAuth 2.1 去掉了 OAuth 2.0 中的密码模式、简化模式,增加了设备授权码模式,同时也对授权码模式增加了 PKCE 扩展。OAuth 2.1 协议:<https://datatracker.ietf.org/doc/html/draft-ietf-
Angular JWT身份验证实践与原理解析
"Angular之jwt令牌身份验证的实现,通过示例代码详细介绍了如何在Angular中使用jwt进行身份验证,包括JWT的基本概念、起源、与传统session认证的区别以及工作原理。" 在现代Web开发中,身份验证是一个至关重要的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值