【编码实战】2022年还在用jjwt操作jwt?,推荐你使用nimbus-jose-jwt,爽到飞起~

最新推荐文章于 2024-03-29 00:58:43 发布
最新推荐文章于 2024-03-29 00:58:43 发布
阅读量1.1w 收藏 21
点赞数 1
分类专栏: 编码实战 文章标签: java spring boot 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kevinnsm/article/details/123389129
版权

什么是nimbus-jose-jwt?

nimbus-jose-jwt是基于Apache2.0开源协议的JWT开源库,支持所有的签名(JWS)和加密(JWE)算法。

对于JWT、JWS、JWE介绍

  • JWT是一种规范,它强调了两个组织之间传递安全的信息
  • JWS是JWT的一种实现,包含三部分header(头部)、payload(载荷)、signature(签名)
  • JWE也是JWT的一种实现,包含五部分内容。

在这里插入图片描述

接下来我们将使用对称加密(HMAC)和非对称加密(RSA)两种算法生成和解析JWT令牌。

1.对称加密(HMAC)

对称加密使用相同的密钥进行加密和解密。

  • 首先在pom.xml添加nimbus-jose-jwt依赖库
    <dependencies>
        <!-- web组件-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
            <version>2.3.0.RELEASE<version>
        </dependency>
        <!--jwt工具-->
        <dependency>
            <groupId>com.nimbusds</groupId>
            <artifactId>nimbus-jose-jwt</artifactId>
            <version>8.16<version>
        </dependency>
    </dependencies>
  • 创建PayloadDto实体类,用于封装JWT中存储的用户信息;
@Data
@ApiModel("信息实体类")
@Builder
@EqualsAndHashCode(callSuper = false)
public class PayloadDto {

    @ApiModelProperty("主题")
    private String sub;

    @ApiModelProperty("签发时间")
    private Long iat;

    @ApiModelProperty("过期时间")
    private Long exp;

    @ApiModelProperty("JWT ID")
    private String jti;

    @ApiModelProperty("用户名")
    private String username;

    @ApiModelProperty("用户权限")
    private List<String> authorities;
}
  • 创建JwtTokenService接口以及JwtTokenServiceImpl逻辑实现类,在其中添加根据HMAC算法生成和验证令牌方法。
/**
 * Created by zsh on 2022/3/9
 */
public interface JwtTokenService {
    /**
     * 使用HMAC对称加密算法生成token
     */
    String generateTokenByHMAC(String payloadStr, String secret) throws KeyLengthException;

    /**
     * 模拟生成用户数据
     */
    PayloadDto getDefaultPayloadDto();

    /**
     * 验证令牌
     */
    PayloadDto verifyTokenByHMAC(String token, String secret);
}

import cn.hutool.core.collection.CollUtil;
import cn.hutool.core.date.DateUtil;
import cn.hutool.json.JSONUtil;
import com.nimbusds.jose.*;
import com.nimbusds.jose.crypto.MACSigner;
import com.nimbusds.jose.crypto.MACVerifier;
import com.zsh.mall.domain.PayloadDto;
import com.zsh.mall.exception.JwtExpireException;
import com.zsh.mall.exception.JwtInvalidException;
import com.zsh.mall.service.JwtTokenService;
import org.springframework.stereotype.Service;

import java.text.ParseException;
import java.util.Date;
import java.util.UUID;

/**
 * Created by zsh on 2022/3/9
 */
@Service
public class JwtTokenServiceImpl implements JwtTokenService {

    @Override
    public String generateTokenByHMAC(String payloadStr, String secret) {
        try {
            //准备JWS-header
            JWSHeader jwsHeader = new JWSHeader.Builder(JWSAlgorithm.HS256)
                    .type(JOSEObjectType.JWT).build();
            //将负载信息装载到payload
            Payload payload = new Payload(payloadStr);
            //封装header和payload到JWS对象
            JWSObject jwsObject = new JWSObject(jwsHeader, payload);
            //创建HMAC签名器
            JWSSigner jwsSigner = new MACSigner(secret);
            //签名
            jwsObject.sign(jwsSigner);
            return jwsObject.serialize();
        } catch (KeyLengthException e) {
            e.printStackTrace();
        } catch (JOSEException e) {
            e.printStackTrace();
        }
        return null;
    }

    @Override
    public PayloadDto getDefaultPayloadDto() {
        Date now = new Date();
        Date exp = DateUtil.offsetSecond(now, 60 * 60);
        return PayloadDto.builder()
                .sub("zsh")
                .iat(now.getTime())
                .exp(exp.getTime())
                .jti(UUID.randomUUID().toString())
                .username("zsh")
                .authorities(CollUtil.toList("ADMIN"))
                .build();
    }

    @Override
    public PayloadDto verifyTokenByHMAC(String token, String secret) {
        try {
            JWSObject jwsObject = JWSObject.parse(token);
            //创建HMAC验证器
            JWSVerifier jwsVerifier = new MACVerifier(secret);
            if (!jwsObject.verify(jwsVerifier)) {
                throw new JwtInvalidException(401, "token签名不合法!");
            }
            String payload = jwsObject.getPayload().toString();
            PayloadDto payloadDto = JSONUtil.toBean(payload, PayloadDto.class);
            if (payloadDto.getExp() < new Date().getTime()) {
                throw new JwtExpireException(401, "token已过期!");
            }
            return payloadDto;
        } catch (ParseException | JOSEException e) {
            e.printStackTrace();
        } catch (JwtInvalidException e) {
            e.printStackTrace();
        } catch (JwtExpireException e) {
            e.printStackTrace();
        }
        return null;
    }
}
  • 创建JwtTokenController类,编写依据HMAC算法生成和解析令牌的接口;注意HMAC算法要求密钥的长度至少为32个字节,所以这里我使用了MD5进行了加密充当密钥。
/**
 * Created by zsh on 2022/3/9
 */
@Api(tags = "JwtTokenController", value = "JWT令牌管理")
@RestController
public class JwtTokenController {

    @Resource
    private JwtTokenService jwtTokenService;

    @ApiOperation("使用HMAC对称加密生成token")
    @GetMapping(value = "/hmac/generate")
    public CommonResult generateTokenByHMAC() throws KeyLengthException {
        PayloadDto payloadDto = jwtTokenService.getDefaultPayloadDto();
        String token = jwtTokenService.generateTokenByHMAC(JSONUtil.toJsonStr(payloadDto), SecureUtil.md5("test"));
        return CommonResult.success(token);
    }

    @ApiOperation("验签")
    @GetMapping(value = "/hmac/verify")
    public CommonResult verifyTokenByHMAC(String token) {
        PayloadDto payloadDto = jwtTokenService.verifyTokenByHMAC(token, SecureUtil.md5("test"));
        return CommonResult.success(payloadDto);
    }
}

其他swagger相关的配置和异常类的编写不再展示。

  • 启动访问localhost:8080/swagger-ui.html

在这里插入图片描述
点击测试,发现生成令牌接口正常。
在这里插入图片描述
根据生成的令牌进行解析

在这里插入图片描述
在这里插入图片描述
成功,HMAC对称加密算法生成令牌和解析令牌已经结束!

2.非对称加密(RSA)

非对称加密采用公钥和私钥进行加密和解密。对于加密操作,公钥负责加密,私钥负责解密。对于签名操作,私钥负责签名,公钥负责验签。

对于加密和签名的理解
例如两个端A和B进行通信,A向B发送了一条经过签名和加密的信息;涉及了四个密钥:A公钥、A私钥、B公钥、B私钥。

  • 签名:是为了让B确认这个信息就是A发出的,不是别人
  • 加密:对传输的内容进行保护,即使信息被恶意截取,也无法进行解析。只有B可以查看。

A向B发送信息进行签名和加密的具体流程。

A使用自己的私钥对信息进行签名
A使用B的公钥对信息进行加密

B接收到A发送的信息进行如下处理:

B用自己的私钥对信息进行解密
B使用A的公钥对进行验签操作

所以整个流程保证了端到端的唯一性!

  • 使用JDK提供的keytool工具或者使用git生成jwt.jks,放到resources目录下

在这里插入图片描述

  • 在JwtTokenService接口中定义方法,并在JwtTokenServiceImpl类中实现其业务
    /**
     * 从类路径下加载jwt.jk
     */
    RSAKey loadJKSByClassPath();

    /**
     * 使用RSA非对称算法生成token
     */
    String generateTokenByRSA(String payloadStr, RSAKey rsaKey) throws JOSEException;

    /**
     * 根据RSA非对称算法验证token
     */
    PayloadDto verifyTokenByRSA(String token, RSAKey rsaKey) throws ParseException, JOSEException, JwtInvalidException;

	@Override
    public RSAKey loadJKSByClassPath() {
        //从类路径下加载证书
        KeyStoreKeyFactory keyStoreKeyFactory = new KeyStoreKeyFactory(new ClassPathResource("jwt.jks"), "123456".toCharArray());
        KeyPair keyPair = keyStoreKeyFactory.getKeyPair("jwt", "123456".toCharArray());
        //获取公钥
        RSAPublicKey publicKey = (RSAPublicKey) keyPair.getPublic();
        //获取私钥
        RSAPrivateKey privateKey = (RSAPrivateKey) keyPair.getPrivate();
        return new RSAKey.Builder(publicKey).privateKey(privateKey).build();
    }

    @Override
    public String generateTokenByRSA(String payloadStr, RSAKey rsaKey) throws JOSEException {
        //构建JWS头
        JWSHeader jwsHeader = new JWSHeader.Builder(JWSAlgorithm.RS256).type(JOSEObjectType.JWT).build();
        //构建载荷
        Payload payload = new Payload(payloadStr);
        //将JWS-header和payload封装成JWS对象中
        JWSObject jwsObject = new JWSObject(jwsHeader, payload);
        //创建签名器
        JWSSigner signer = new RSASSASigner(rsaKey, true);
        jwsObject.sign(signer);
        return jwsObject.serialize();
    }

    @Override
    public PayloadDto verifyTokenByRSA(String token, RSAKey rsaKey) throws ParseException, JOSEException, JwtInvalidException {
        JWSObject jwsObject = JWSObject.parse(token);
        RSAKey verifyKey = rsaKey.toPublicJWK();
        JWSVerifier verifier = new RSASSAVerifier(verifyKey);
        if (!jwsObject.verify(verifier)) {
            throw new JwtInvalidException(401, "签名不合法!");
        }
        String payload = jwsObject.getPayload().toString();
        String substring = payload.substring(11, payload.length() - 1);
        String[] strings = substring.split(",");
        PayloadDto payloadDto = PayloadDto.builder()
                .sub(strings[0])
                .iat(100L)
                .exp(100L)
                .jti(strings[3])
                .username(strings[4])
                .authorities(CollUtil.toList(strings[5]))
                .build();
        return payloadDto;
    }
  • 在JwtTokenController中加入以下接口
    @ApiOperation("获取公钥")
    @GetMapping("/rsa/publicKey")
    public CommonResult getRsaPublicKey() {
        RSAKey key = jwtTokenService.loadJKSByClassPath();
        return CommonResult.success(new JWKSet(key).toJSONObject());
    }

    @ApiOperation("使用RSA非对称加密算法生成token")
    @GetMapping("/rsa/generate")
    public CommonResult generateTokenByRSA() throws JOSEException {
        PayloadDto payloadDto = jwtTokenService.getDefaultPayloadDto();
        RSAKey rsaKey = jwtTokenService.loadJKSByClassPath();
        String token = jwtTokenService.generateTokenByRSA(payloadDto.toString(), rsaKey);
        return CommonResult.success(token);
    }

    @ApiOperation("RSA验签")
    @GetMapping("/rsa/verify")
    public CommonResult verifyTokenByRSA(String token) throws ParseException, JOSEException, JwtInvalidException {
        PayloadDto payloadDto = jwtTokenService.verifyTokenByRSA(token, jwtTokenService.loadJKSByClassPath());
        return CommonResult.success(payloadDto);
    }
  • 测试
    在这里插入图片描述
    在这里插入图片描述
Thecoastlines
关注
  • 1
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
nimbus-jose-jwt-4.41.1-API文档-中文版.zip
06-26
赠送jar包:nimbus-jose-jwt-4.41.1.jar; 赠送原API文档:nimbus-jose-jwt-4.41.1-javadoc.jar; 赠送源代码:nimbus-jose-jwt-4.41.1-sources.jar; 赠送Maven依赖信息文件:nimbus-jose-jwt-4.41.1.pom; 包含翻译后的API文档:nimbus-jose-jwt-4.41.1-javadoc-API文档-中文(简体)版.zip; Maven坐标:com.nimbusds:nimbus-jose-jwt:4.41.1; 标签:nimbusds、nimbus、jose、jwt、中文文档、jar包、java; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请放心使用
jwt token长度_听说你的JWT库用起来特别扭,推荐这款贼好用的
weixin_40008870的博客
11-26 383
以前一直使用的是jjwt这个JWT库,虽然小巧够用, 但对JWT的一些细节封装的不是很好。最近发现了一个更好用的JWTnimbus-jose-jwt,简单易用,API非常易于理解,对称加密和非对称加密算法都支持,推荐给大家!简介nimbus-jose-jwt是最受欢迎的JWT开源库,基于Apache 2.0开源协议,支持所有标准的签名(JWS)和加密(JWE)算法。JWT概念关系这里我们需要了解...
nimbus-jose-jwt库简单使用 & 公私钥字符串互相转换
最新发布
冰糖的博客
03-29 349
需大于等于 对应算法所需的密钥长度。包括生成RSA密钥对。
JWT 使用 nimbus-jose-jwt 进行解码
HONEY MOOSE
10-18 2343
在程序中获得 JWT 的Token 代码后,可以对 JWT 进行解码。 常用的可以使用 OAuth0 提供的解码包,你也可能会使用 nimbus-jose-jwt 包。 Maven 配置参数为: <dependency> <groupId>com.nimbusds</groupId> <artifactId>nimbus-jose-jwt</artifactId> <version>8.19</ve
JWT解析库-nimbus-jose-jwt
成长需要沉淀。
01-16 4360
07.JWT解析库-nimbus-jose-jwt JWT解析库-nimbus-jose-jwt,是最受欢迎的JWT开源库,基于Apache2.0开源协议,支持所有标准的签名JWS和加密JWE算法。 1、JWT JWS JWE是什么? 1.1、JWT JWT 全名为JSON WEB TOKEN ,指定的是一种规范! 1.2、JWS JWT的实现,json web signature 1.3、JWE JWT的实现,json web encryption 2、加密算法可分对称加密和非对称加密 2.1、RSA
nimbus-jose-jwt-3.9-API文档-中文版.zip
04-23
赠送jar包:nimbus-jose-jwt-3.9.jar; 赠送原API文档:nimbus-jose-jwt-3.9-javadoc.jar; 赠送源代码:nimbus-jose-jwt-3.9-sources.jar; 赠送Maven依赖信息文件:nimbus-jose-jwt-3.9.pom; 包含翻译后的API文档:nimbus-jose-jwt-3.9-javadoc-API文档-中文(简体)版.zip; Maven坐标:com.nimbusds:nimbus-jose-jwt:3.9; 标签:nimbus、nimbusds、jose、jwt、jar包、java、API文档、中文版; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请放心使用
commons-auth:使用jwt,password-reset等简单实现身份验证端点
02-17
使用jwt-tokens进行身份验证 刷新令牌流 oauth2端点 注册+验证流程 可选的Gravatar集成 可选键值对,用于向用户保存自定义属性 密码忘记/重置流程 原始用户+邀请的管理端点 邀请用户流以允许其他人加入您的应用程序...
jersey-jwt使用Jersey,Jackson,Undertow,Weld,Hibernate和Arquillian进行JWT身份验证的REST API示例
02-05
使用Jersey和CDI进行JWT身份验证的REST API 此示例应用程序演示了如何使用以下方法执行基于令牌的身份验证: 泽西岛:用于在Java中创建RESTful Web服务的JAX-RS参考实现。 Jackson: Java的JSON解析器。 ...
还在直接用JWT做鉴权?JJWT真香.zip
12-13
计算机技术、IT咨询、人工智能AI理论介绍,学习参考资料 计算机技术、IT咨询、人工智能AI理论介绍,学习参考资料 计算机技术、IT咨询、人工智能AI理论介绍,学习参考资料 计算机技术、IT咨询、人工智能AI理论介绍,...
spring-boot-webflux-jjwt:示例Spring Boot和带有Spring Security和JWT的WebFlux(响应式Web),用于令牌认证和授权
01-30
弹簧启动webfluxjjwt 带有Spring Security和JWT的示例Spring Boot和WebFlux(响应式Web)(用于令牌认证和授权) 文档化 您可以看到我的中级故事
jose-jwt:.NET和.NET Core的最终Javascript对象签名和加密(JOSE)和JSON Web令牌(JWT)实现
02-03
.NET和.NET Core的终极Javascript对象签名和加密(JOSE)和JSON Web令牌(JWT)实现 简约的零依赖库,用于生成,解码和加密。 从2014年7月4日版本开始支持全套。 与JSON解析无关,可以插入任何所需的JSON处理库。 广泛测试了与 , 和库的兼容性。 符合FIPS 自v2.1起,该库完全符合FIPS标准 哪个版本? v3.0及更高版本还针对netstandard2.1以在* nix系统上利用更好的.net加密支持并启用更多受支持的算法。 所有新功能很可能会根据给定的版本出现。 v2.1及更高版本增加了对.NET461 +的额外功能支持,并随附3个版本的
jose:JSON对象签名和加密框架(JWT,JWS,JWE,JWA,JWK,JWKSet等)
02-03
PHP JOSE库 如果您真的喜欢那个图书馆,那么您可以帮我几个忙 :clinking_beer_mugs: ! :warning: :warning: :warning: 我们强烈建议您使用新的而不是此库。 该库的有效支持将持续到2018年底。 从2019年到2020年底将提供安全支持。 中将提供/提供了迁移指南。 :warning: :warning: :warning: 该库提供了以下实现: JW S , JW T , JW E , JW A 。 JW K 。 JSON Web密钥指纹( )。 未编码的有效载荷选项 。 提供的功能 支持的输入类型: JWS或JWE对象支持可以编码为JSON的每个输入: string , array , integer ,
spring-security-jwt-csrf:使用Spring Security,Spring Boot和Vue js进行无状态JWT身份验证的演示
01-31
JWT Spring Boot安全性 Опроекте ЭтодемонстрацияаутентификациинаосноветокенасиспользованиемJSON网络令牌иCSRF,Spring安全,Spring启动и...
你还在用JWT做身份认证嘛?
嘉禾笔记
12-25 574
翻译自:JSON Web Tokens (JWT) are Dangerous for User Sessions—Here’s a Solution 有时候,人们采用旨在解决狭义问题的技术,并开始广泛运用这项技术。这些问题可能看起来类似,但是使用独特的技术来解决一般的问题,可能会造成意想不到的后果。举个栗子,手里拿个锤子,看谁都是钉子,jwt就是这样一种技术。 来源:Stop using JWT for sessions 来源:Why JWTs Are Bad for Authentication.
从零开发短视频电商 使用nimbus-jose-jwt进行对称签名和非对称签名的JWT实现
laker的博客
07-05 760
JSON Web Token(JWT)是一种开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于安全地在各方之间传输信息,其格式为JSON对象。这些信息可以被验证和信任,因为它们是数字签名的。JWT可以使用对称算法(使用HMAC算法)或非对称算法(使用RSA或ECDSA的公钥/私钥)对进行签名。尽管JWT可以加密以实现机密性(JWK),但我们更多使用的是签名令牌(JWS)。签名令牌可以验证声明的完整性,而加密令牌则隐藏这些声明,不让其他方看到。
JWT快速入门与使用nimbus-jose-jwt
特别享受思考问题的过程
12-01 3441
文章目录JWT(JSON Web Token)的使用前言JWT的作用和基本格式基本格式为什么需要签名?JWT相关的库nimbus-jose-jwt和jsonwebtoken的选择nimbus-jose-jwt使用JWSHMAC加密算法使用HMAC的场景生成使用HMAC加密算法的jwt解析HMAC加密算法的jwtRSA加密算法使用RSA的场景在线生成RSA公钥和私钥生成使用RSA加密算法的jwt解析RAS加密算法的jwtJWE使用RSA对内容进行加密JWS + JWE关于RSA的一些解释备注 JWT(JSON
springboot+gradle+knife4j实现nimbus-jose-jwt简单使用
折剑听雨落
07-09 4530
1. 配置knife4 官网地址:https://doc.xiaominfo.com/guide/useful.html 1.1 项目引用build.guide dependencies { implementation 'org.springframework.boot:spring-boot-starter-web' implementation 'org.springframework.cloud:spring-cloud-starter-openfeign' impl
商城项目项目用jwt可以吗_JWT现在是SOA子项目
07-08 142
商城项目项目用jwt可以吗 Java Workflow Tooling (JWT)项目已经完成了Move Review,现在已经成为Eclipse SOA顶级项目的一部分。 它将加入Swordfish和STP SCA作为Eclipse SOA子项目。 JWT项目是构建设计时间,开发时间和运行时工作流工具的集合,旨在建立可互操作的业务流程管理(BPM)平台的生态系统。 它包括一个桌面工具组件,...
springboot使用jwt包有哪些
03-13
常用的JWT包有以下几个: 1. jjwt 2. nimbus-jose-jwt 3. auth0/java-jwt 4. java-jwt/jjwt 以上是一些常用的JWT包,当然还有其他的选择,具体使用哪个取决于你的需求和个人喜好。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Thecoastlines

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值