JWT单点登录源码分析

最新推荐文章于 2023-02-25 23:03:36 发布
最新推荐文章于 2023-02-25 23:03:36 发布
阅读量7.4k 收藏 4
点赞数
分类专栏: spring java 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35219329/article/details/120710940
版权
spring 同时被 2 个专栏收录
17 篇文章 0 订阅
订阅专栏
java
2 篇文章 0 订阅
订阅专栏

目录

前言

一、创建token

二、验证token

总结


前言

        JWT在创建的token由header、payload和signature三部分组成,每一部分使用"."分隔,其中header中存储加密的模型,payload中存储需要传输的信息和过期时间等,signature中存储加密后的字符串,使用base64编码提高安全性。在校验的时候也是根据上述规则进行分割,分别进行校验。

一、创建token

       在项目中,我们通过调用JWT.create.sign()方法,创建token,并返给前端写在header中,用作身份证明。

public String sign(Algorithm algorithm) throws IllegalArgumentException, JWTCreationException {
            if (algorithm == null) {
                throw new IllegalArgumentException("The Algorithm cannot be null.");
            }
            headerClaims.put(PublicClaims.ALGORITHM, algorithm.getName());
            headerClaims.put(PublicClaims.TYPE, "JWT");
            String signingKeyId = algorithm.getSigningKeyId();
            if (signingKeyId != null) {
                withKeyId(signingKeyId);
            }
            return new JWTCreator(algorithm, headerClaims, payloadClaims).sign();
        }

           在sign方法中,返回的token由三部分组成,中间用"."隔开,分别是header、payload和signature,其中header中存储algorithm,headerClaims中存储用户的校验规则以及一些自定义字段,signature中存储加密后的字符串,在校验时使用。 

    private String sign() throws SignatureGenerationException {
        String header = Base64.encodeBase64URLSafeString(headerJson.getBytes(StandardCharsets.UTF_8));
        String payload = Base64.encodeBase64URLSafeString(payloadJson.getBytes(StandardCharsets.UTF_8));
        String content = String.format("%s.%s", header, payload);

        byte[] signatureBytes = algorithm.sign(content.getBytes(StandardCharsets.UTF_8));
        String signature = Base64.encodeBase64URLSafeString((signatureBytes));

        return String.format("%s.%s", content, signature);
    }


二、验证token

            项目中通过verify方法校验token的有效性。

 public DecodedJWT verify(String token) throws JWTVerificationException {
        DecodedJWT jwt = JWT.decode(token);
        verifyAlgorithm(jwt, algorithm);
        algorithm.verify(jwt);
        verifyClaims(jwt, claims);
        return jwt;
    }

            在verify方法中,首先创建了一个DecodedJWT,基本就是将传进来的token字符串以"."作为分隔符进行分割,然后将前两个部分分别作为headerJson和payloadJson。如果token的格式不正确,即token不是以"."分割的,会抛出JWTDecodeException异常。

    JWTDecoder(String jwt) throws JWTDecodeException {
        parts = TokenUtils.splitToken(jwt);
        final JWTParser converter = new JWTParser();
        String headerJson;
        String payloadJson;
        try {
            headerJson = StringUtils.newStringUtf8(Base64.decodeBase64(parts[0]));
            payloadJson = StringUtils.newStringUtf8(Base64.decodeBase64(parts[1]));
        } catch (NullPointerException e) {
            throw new JWTDecodeException("The UTF-8 Charset isn't initialized.", e);
        }
        header = converter.parseHeader(headerJson);
        payload = converter.parsePayload(payloadJson);
    }
    static String[] splitToken(String token) throws JWTDecodeException {
        String[] parts = token.split("\\.");
        if (parts.length == 2 && token.endsWith(".")) {
            //Tokens with alg='none' have empty String as Signature.
            parts = new String[]{parts[0], parts[1], ""};
        }
        if (parts.length != 3) {
            throw new JWTDecodeException(String.format("The token was expected to have 3 parts, but got %s.", parts.length));
        }
        return parts;
    }

       在verify方法中,将上个方法中获取的header和payload组合成content,然后使用给定方法进行加密,将结果与传入的signature对比,如果相同,校验通过。

    public void verify(DecodedJWT jwt) throws SignatureVerificationException {
        byte[] contentBytes = String.format("%s.%s", jwt.getHeader(), jwt.getPayload()).getBytes(StandardCharsets.UTF_8);
        byte[] signatureBytes = Base64.decodeBase64(jwt.getSignature());

        try {
            boolean valid = crypto.verifySignatureFor(getDescription(), secret, contentBytes, signatureBytes);
            if (!valid) {
                throw new SignatureVerificationException(this);
            }
        } catch (IllegalStateException | InvalidKeyException | NoSuchAlgorithmException e) {
            throw new SignatureVerificationException(this, e);
        }
    }

    boolean verifySignatureFor(String algorithm, byte[] secretBytes, byte[] contentBytes, byte[] signatureBytes) throws NoSuchAlgorithmException, InvalidKeyException {
        return MessageDigest.isEqual(createSignatureFor(algorithm, secretBytes, contentBytes), signatureBytes);
    }

       在verifyClaims方法中,默认情况下,JWTVerifier就会将过期时间相关的校验添加进去,基本就是对用户规定的过期时间,字段等进行校验,在前面已经将这些字段从token字符串中解析出来,这里只需要做一下判断。

    private void verifyClaims(DecodedJWT jwt, Map<String, Object> claims) throws TokenExpiredException, InvalidClaimException {
        for (Map.Entry<String, Object> entry : claims.entrySet()) {
            switch (entry.getKey()) {
                case PublicClaims.AUDIENCE:
                    //noinspection unchecked
                    assertValidAudienceClaim(jwt.getAudience(), (List<String>) entry.getValue());
                    break;
                case PublicClaims.EXPIRES_AT:
                    assertValidDateClaim(jwt.getExpiresAt(), (Long) entry.getValue(), true);
                    break;
                case PublicClaims.ISSUED_AT:
                    assertValidDateClaim(jwt.getIssuedAt(), (Long) entry.getValue(), false);
                    break;
                case PublicClaims.NOT_BEFORE:
                    assertValidDateClaim(jwt.getNotBefore(), (Long) entry.getValue(), false);
                    break;
                case PublicClaims.ISSUER:
                    assertValidStringClaim(entry.getKey(), jwt.getIssuer(), (String) entry.getValue());
                    break;
                case PublicClaims.JWT_ID:
                    assertValidStringClaim(entry.getKey(), jwt.getId(), (String) entry.getValue());
                    break;
                case PublicClaims.SUBJECT:
                    assertValidStringClaim(entry.getKey(), jwt.getSubject(), (String) entry.getValue());
                    break;
                default:
                    assertValidClaim(jwt.getClaim(entry.getKey()), entry.getKey(), entry.getValue());
                    break;
            }
        }
    }


总结

          本文主要对JWT的token生成和校验过程进行分析,如有不足之处,欢迎大家指出。

金牌演员
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
jmeter发送请求响应为The token was expected to have 3 parts, but got 1.
joy的博客
04-19 1万+
在使用jmeter发送登录请求时,接口响应为{“timestamp”:1681811391873,“status”:500,“error”:“Internal Server Error”,“message”:“com.auth0.jwt.exceptions.JWTDecodeException: The token was expected to have 3 parts, but got 1.”,“path”:“/competition/user/login”}
详解使用JWT实现单点登录(完全跨域方案)
10-16
主要介绍了详解使用JWT实现单点登录(完全跨域方案),文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
基于JWT实现SSO单点登录流程图解
08-18
主要介绍了基于JWT实现SSO单点登录流程图解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
springsecurity+oauth2+jwt实现单点登录demo
06-06
该资源是springsecurity+oauth2+jwt实现的单点登录demo,模式为授权码模式,实现自定义登录页面和自定义授权页面。应用数据存在内存中或者存在数据库中(附带数据库表结构),token存储分为数据库或者Redis。demo包含服务端和客户端,可直接运行测试。
JVM参数设置
iteye_11128的博客
12-13 315
-Xms768m -Xmx1280m  jvm堆的最小值和最大值设置,一般设成相同值,避免频繁分配堆空间 -XX:NewSize=128m -XX:MaxNewSize=128m  年轻代最小值和最大值设置(年轻代设定了,年老代也就定了),也可以用参数-XX:NewRatio=4,年老代和年轻代的大小比,这里128m有点小了,官方建议的是heap的3/8,差不多280m -XX:PermSi...
微服务聚合JWT实现权鉴
weixin_55229531的博客
07-17 8937
微服务聚合JWT实现权鉴
【Springboot 入门培训】#12 Security(四) Jwt 前后端分离跨域登录
zhtbs的博客
06-02 905
现在主要流行的开发模式为前后端分离,前端运行在一个独立的工程项目下与后端服务进行REST API模式数据交互,在REST API数据通信的时候需要使用到token数据令牌来进行服务器之间安全验证。现在常用的token技术手段有 jwt 和 oauth2 ,它们两种技术手段都有各自的特点与使用场景,jwt 更适合体积小业务逻辑简单的系统,在没有和其他web 系统的REST API数据交互太多的交互业务场景下,jwt 使用起来更方与快捷一些。JWT 全称是 JSON Web Token,是目前非常流行的http
com.auth0.jwt.exceptions.TokenExpiredException: The Token has expired on Thu May 05 16:35:50 CST 202
青鱼青鱼的博客
05-05 2584
重新登录就好了,或者关机重启
C# Json 解析遇到:The token '"' was expected 的 问题处理
宋同学的Solution
09-24 8319
先不管是否Server 给的JSON 出现了催哦无
Jwt隐藏大坑,通过源码揭晓
Gui.H的博客
05-25 832
前言 JWT是目前最为流行的接口认证方案之一,有关JWT协议的详细内容,请参考:https://jwt.io/introduction 今天分享一下在使用JWT在项目中遇到的一个问题,主要是一个协议的细节,非常容易被忽略,如果不是自己遇到,或者去看源码的实现,我估计至少80%的人都会栽在这里,下面来还原一下这个问题的过程,由于这个问题出现有一定的概率,不是每次都会出现,所以才容易掉坑里。 集成JWT 在Asp.Net Core中集成JWT认证的方式在网络上随便一搜就能找到一堆,主要有两个步骤: 在IOC容
spring boot如何基于JWT实现单点登录详解
08-25
主要介绍了spring boot如何基于JWT实现单点登录详解,用户只需登录一次就能够在这两个系统中进行操作。很明显这就是单点登录(Single Sign-On)达到的效果,需要的朋友可以参考下
Spring Security基于JWT实现SSO单点登录详解
08-25
主要介绍了Spring Security基于JWT实现SSO单点登录详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
iOS开发常见错误代码对照表整理
weixin_30335575的博客
12-16 2586
登录|注册 一样的世界,不一样的时间 随手记点东西 目录视图 摘要视图 订阅 2016软考项目经理实战班学院周年礼-顶尖课程钜惠呈现微信公众平台应用开发CSDN 2015年度社区之星荣誉榜 ...
bsdasm
weixin_30734435的博客
05-01 546
bsdasm 来源http://www.int80h.org/bsdasm/ Preface by G. Adam StanislavWhiz Kid Technomagic Assembly language programing under Unix is highly undocumented. It is generally assumed that no one wo...
Leetcode Solutions - Part 2
vjhghjghj的博客
02-25 1585
m
Token解密出错:The string "此处为乱码'' doesn't have a valid JSON format(已解决)
热门推荐
weixin_43830606的博客
02-18 1万+
最近在毕设里面使用token做登录授权,使用postman测试出现了乱码报错: com.auth0.jwt.exceptions.JWTDecodeException: The string ‘�z��’G�#�KaTeX parse error: Expected 'EOF', got '&amp;' at position 6: �uB"�&amp;̲�r#��3S"’’ doesn’...
Spring boot 集成JWT实现token验证
菜园子丶For丨丶Tomorrow的博客
06-13 553
1、引入依赖 <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.4.0</version> </dependency> 2、自定义注解 跳过验证注解...
关于JWT 秘钥信息都正确但是就是提示验证失败原因
u013020402的博客
09-27 3721
摘要:com.auth0.jwt.exceptions.InvalidClaimException: The Claim 'XXX' value doesn't match the required one. 因为开发需求,使用JWTtoken插件,然后使用用户ID作为秘钥的一部门用于认证。但是用户的ID是纯数字类型的字符串。JWT开发时发现一个特别的问题,只要用客户的id做jwt认证时就会出现com.auth0.jwt.exceptions.InvalidClaimException: The Cla
java jwt 单点登录
最新发布
06-06
java jwt 单点登录是指使用Java程序实现单点登录(SSO)功能时,使用JWT(JSON Web Token)技术来保证用户身份的安全性和有效性。 JWT是一个轻量级的开放标准,用于在网络上传输数据。其包含三部分:Header、Payload和Signature。Header包含算法和token类型;Payload包含用户信息、权限以及过期时间等;Signature则是对Header和Payload的签名,以确保这个JWT是可信的。 在实现Java JWT单点登录时,首先需要通过一个认证服务器来颁发JWT token。用户登录成功后,服务器会生成一个JWT并返回给客户端。客户端收到token后,可以保存在本地进行后续操作。当用户访问其他系统时,需要携带这个JWT token,系统会通过请求头中的token信息,验证用户的身份。 通过JWT单点登录技术,用户只需要登录一次即可访问多个系统,不需要重复登录,大大提高了用户体验和安全性。同时,JWT token的加密和解密需要使用相同的密钥,这也可以更好地保障用户信息的安全性。 在Java中,可以使用第三方库如jjwt来简化JWT token的生成和验证过程。同时也可以使用Spring Security等框架来实现JWT单点登录功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值