jwt问题记录

已于 2022-08-02 16:49:42 修改
阅读量1.8k 收藏 1
点赞数 1
分类专栏: JavaEE 文章标签: java jwt jjwt
于 2022-08-02 12:45:20 首次发布
欢迎转载,转载请注明原地址,谢谢!
本文链接:https://blog.csdn.net/u012643122/article/details/126118236
版权

一、版本

1.1 新旧版本maven依赖不同

0.9.x及以下的版本是这样导入的:

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version>
</dependency>

0.10.x及以上的版本是这样导入的:

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-api</artifactId>
    <version>0.11.2</version>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-impl</artifactId>
    <version>0.11.2</version>
    <scope>runtime</scope>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <!-- 可选:jjwt-gson/jjwt-orgjson/jjwt-jackson -->
    <artifactId>jjwt-jackson</artifactId>
    <version>0.11.2</version>
    <scope>runtime</scope>
</dependency>

1.2 新旧版本接口调用方式不同

创建JwtToken

0.9.x及以下的版本是这样创建JwtToken的:

builder.setExpiration(LocalDateUtil.localDateTime2Date(LocalDateTime.now().plusSeconds(expire)))
	.signWith(SignatureAlgorithm.RS256,RSA_KEY_HELPER.getPrivateKey64(privateKeyPath)).compact();

0.10.x及以上的版本是这样创建JwtToken的:

builder.setExpiration(LocalDateUtil.localDateTime2Date(LocalDateTime.now().plusSeconds(expire)))
	.signWith( RSA_KEY_HELPER.getPrivateKey64(privateKeyPath),SignatureAlgorithm.RS256).compact();

其实没太大变化,只是调换了signWith方法的参数位置。

解析JwtToken

0.9.x及以下的版本是这样解析JwtToken的:

Jwts.parser().setSigningKey(RSA_KEY_HELPER.getPublicKey64(pubKeyPath)).parseClaimsJws(token);

0.10.x及以上的版本是这样解析JwtToken的:

Jwts.parserBuilder().setSigningKey(RSA_KEY_HELPER.getPublicKey64(pubKeyPath)).build().parseClaimsJws(token);

其实也没太大变化,只是多了层Builder。

二、密钥字节长度问题

2.1 RS256算法的密钥字节必须大于等于2048

公钥和私钥的最小字节数必须大于等于2048,否则会报错。

io.jsonwebtoken.security.WeakKeyException: The verification key's size is 1024 bits which is not secure enough for the RS256 algorithm.  The JWT JWA Specification (RFC 7518, Section 3.3) states that keys used with RS256 MUST have a size >= 2048 bits.  Consider using the io.jsonwebtoken.security.Keys class's 'keyPairFor(SignatureAlgorithm.RS256)' method to create a key pair guaranteed to be secure enough for RS256.  See https://tools.ietf.org/html/rfc7518#section-3.3 for more information.
	at io.jsonwebtoken.SignatureAlgorithm.assertValid(SignatureAlgorithm.java:424)
	at io.jsonwebtoken.SignatureAlgorithm.assertValidVerificationKey(SignatureAlgorithm.java:315)
	at io.jsonwebtoken.impl.DefaultJwtParser.parse(DefaultJwtParser.java:364)
	at io.jsonwebtoken.impl.DefaultJwtParser.parse(DefaultJwtParser.java:513)
	at io.jsonwebtoken.impl.DefaultJwtParser.parseClaimsJws(DefaultJwtParser.java:573)

jwt其他密钥长度规定:

RS256和PS256的密钥长度至少2048位字节
RS384和PS384的密钥长度至少3072位字节
RS512和PS512的密钥长度至少4096位字节

2.2 RSA生成公钥和私钥

import tang.zhiyin.base.util.Base64Util;
import java.security.Key;
import java.security.KeyPair;
import java.security.KeyPairGenerator;

public class KeyGenUtil {

    /**
     * 生成RSA公钥和私钥
     *
     * @return Key[0]=公钥,Key[1]=私钥
     * @throws Exception
     */
    public static Key[] createKey() throws Exception {
        Key[] keys = new Key[2];
        KeyPairGenerator keyPairGen = KeyPairGenerator.getInstance("RSA");
        keyPairGen.initialize(2048);
        KeyPair keyPair = keyPairGen.generateKeyPair();
        keys[0] = keyPair.getPublic();
        keys[1] = keyPair.getPrivate();
        return keys;
    }

    public static void main(String[] args) throws Exception {
        Key[] keys = createKey();
        String publicKey = Base64Util.encodeBase64(keys[0].getEncoded());
        System.out.println(publicKey);
        String privateKey = Base64Util.encodeBase64(keys[1].getEncoded());
        System.out.println(privateKey);
    }
}

三、jwt的缺点和问题

3.1 令牌一经发放,无法作废

jwt的令牌一旦生成,在有效期内无法作废,这是一个很严重的问题
比如,后台管理员将某个用户禁用了,此时如果你只是使用jwt来验证用户,那么此用户仍然可以登录。

解决办法:

方法1、将jwtToken存入redis或mysql中,并在数据库中设置jwtToken的有效期(一般和jwt中保持一致)。在验证用户(即验证jwtToken)的时候,也从redis或者mysql中拉取数据库中的有效期,如果数据库中的有效期过期,则登录失败。禁用用户时,只需要修改redis或mysql中jwtToken的有效期即可。

方法2、和方法1基本相同,jwtToken中包含一个userToken,将userToken存入redis或mysql中,并在数据库中设置userToken的有效期。在验证用户(即验证jwtToken)的时候,也从redis或者mysql中拉取数据库中userToken的有效期,如果数据库中的有效期过期,则登录失败。禁用用户时,只需要修改redis或mysql中userToken的有效期即可。
实操:

@Data
public class JwtTokenJson {
    private String userId;
    private String userName;
    private String userToken;
}

JwtBuilder builder= Jwts.builder()
	.setSubject(String.valueOf(jwtTokenJson.getUserId()))
	.claim(JwtInfoKeys.username, jwtTokenJson.getUserName())
	.claim(JwtInfoKeys.usertoken, jwtTokenJson.getUserToken());
String jwtToken = builder.setExpiration(LocalDateUtil.localDateTime2Date(LocalDateTime.now().plusSeconds(expire))).signWith( RSA_KEY_HELPER.getPrivateKey64(privateKeyPath),SignatureAlgorithm.RS256).compact();

jwtToken里包含一个userToken,userToken的有效期交给Redis或者mysql管理。这样一来,用户即使jwtToken没过期,但如果userToken过期了也无法登录成功。

注意

如果放入redis中还好,如果放入mysql中则严重影响服务性能,因为这个查询token是否过期的操作,每次请求都会调用。相当于放弃jwt的一个优势:验证用户登录时,无需查询数据库。

3.2 令牌一经发放,无法延长有效期

jwt的令牌一旦生成,无法做任何修改,无法延期,这也是一个很严重的问题
比如你令牌的有效期是5分钟,你无法做到,在4分钟的时候给这个令牌重新续期5分钟,即使用户在4分钟的时候操作过页面也不行。
jwt无法像session一样可以自动续期,session的有效期是只要有户有新的操作,那么session有效期会自动更新,jwt则不行。

解决办法:

方法1、将jwtToken存到mysql或redis,捕获ExpiredJwtException异常,重新生成jwtToken

try {
            return Jwts.parserBuilder().setSigningKey(RSA_KEY_HELPER.getPublicKey64(pubKeyPath)).build().parseClaimsJws(jwtToken);
        } catch (ExpiredJwtException ex) {//过期
            //使用token查询mysql或redis(前提是你有将token存到mysql或redis)相关的用户信息
            //根据用户信息重新生成token
          	...
        }

方法2、双jwtToken互相续期。

用户登录后生成两个jwtToken给前端,一个有效期短,另一个有效期长。
验证用户登录时,校验两个jwtToken,只要其中有一个校验成功,即认为验证通过。
并且,如果有过期的jwtToken,则生成一个新的jwtToken,代替过期的那个jwtToken并返回前端。

举例说明,用户登录后生成两个jwtToken给前端,一个叫A有效期2天,一个叫B有效期4天。如果用户在第3天有操作网站,那么验证jwtToken的地方,需要将A丢弃,并生成一个新的jwtToken-C,有效期4天,顶替A的位置,用户在第5天如果有操作网站,那么验证jwtToken的地方,需要将B丢弃,并生成一个新的jwtToken-D,有效期4天,顶替B的位置。

方法3、每次请求都重新创建一个jwtToken。
此方法能实现自动续期、无期限续期的效果。

注意

方法2优点:不用查询数据库。
方法2缺点:双倍的token数据,浪费带宽。双倍的代码量更难维护。
方法3不推荐使用,太浪费计算资源了,但是不追求性能的CMS、OA、CRM、HR之类的系统可以用。

思想永无止境
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
IT老齐学习笔记-JWT
weixin_46120706的博客
09-20 1950
JWT
导入外部的Maven依赖包解决方法
weixin_49648855的博客
08-11 3997
导入外部Maven依赖包解决方法
解决maven仓库某些依赖无法下载的问题
m0_52832310的博客
10-26 993
最后执行等待导入成功即可,版本号什么的不要输入错误,多注意一些小细节,这些有可能会直接导致错误。先去mvnrepository.com下载对应的jar包。例如:io.jsonwebtoken:jjwt。然后去idea的maven下运行如下代码。
django simple jwt自动续期策略
roy8666的博客
06-21 1475
jwt 自动续期
Dependency not found解决方案(Springboot,绝对有效)
最新发布
m0_54355172的博客
06-10 1万+
springboot 中 Maven 依赖无法拉取的解决方案
JWT Token生成及验证
07-16
4. **防止重放攻击**:通过记录已使用过的Token或者引入nonce(一次性随机数)来防止Token被重复使用。 ### JWT Token在微服务中的应用 在微服务架构中,JWT常作为跨服务认证的手段,客户端获取到Token后,可以在...
asp.net core集成JWT的步骤记录
01-01
【什么是JWT】 JSON Web Token(JWT)是目前最流行的跨域身份验证解决方案。 JWT的官网地址:https://jwt.io/ 通俗地来讲,JWT是能代表用户身份的令牌,可以使用JWT令牌在api接口中校验用户的身份以确认用户是否有...
springboot + jwt + websocket + 拦截
09-02
在IT行业中,Spring Boot、JWT(JSON Web Token)和WebSocket是三个非常重要的技术概念,而“拦截”通常指的是在系统中实现的一种中间件机制,用于处理请求或响应。结合提供的标题和描述,我们可以深入探讨这四个...
PHP jwt类库
07-31
**PHP JWT类库详解** JWT(JSON Web Token)是一种轻量级的身份验证机制,用于在分布式系统中安全地传输信息。...在实际应用中,还需要考虑如何存储和管理密钥,以及如何处理JWT过期和刷新等问题
Jwt参考代码
01-29
例如,`nbf`(Not Before)声明指定JWT在什么时间之前不能被接受,`iat`(Issued At)声明记录JWT的生成时间,`aud`(Audience)声明定义了JWT的接收者。数据校验工具会检查这些声明,确保JWT符合业务规则。 5. **...
jwt 0.9.0(二)jwt官网资料总结
weixin_30808253的博客
06-17 211
1、JWT描述 Jwt token由Header、Payload、Signature三部分组成,这三部分之间以小数点”.”连接,JWT token长这样: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.keH6T3x1...
.NetCore JWT token过期时间设置
热门推荐
极客神殿
09-26 1万+
设置为在一分钟内过期,以便我可以测试它在过期日期之后提交时是否拒绝。我正在生成 JWT 以用于我的 WebApi 项目。是否有我不知道的最短到期时间或我的设置错误?的默认值为 5 分钟。
4.JWT(JSON Web Token,JSON令牌
相互学习 共同进步
04-24 1004
JSON Web令牌JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间作为JSON对象安全地传输信息。由于此信息是经过数字签名的,因此可以被验证和信任。可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对对JWT进行签名。尽管可以对JWT进行加密以在双方之间提供保密性,但将重点关注已签名的令牌。签名的令牌可以验证其中包含的声明的完整性,而加密的令牌则将这些声明隐藏在其他方的面前。
JWT Security Session
Liamlf的博客
08-23 918
JWT最常见的场景就是授权认证,一旦认证用户登录,后续每个请求都将包含JWT,系统在每次处理用户请求之前,都要先进行JWT安全校验,通过之后在进行处理。JWT是一种紧凑且自包含的,用于多方传递JSON对象的技术。传递的数据可以使数据签名增加其安全性。可以使用HMAC加密算法或RSA公钥/私钥加密方式jwt有何作用?
JWT 认证报错:io.jsonwebtoken.security.WeakKeyException
Siona_xin 的博客
06-06 3362
SpringBoot 整合 SpringSecurity 实现 JWT 认证,选用了 SignatureAlgorithm.HS512 算法,在用使用 base64-secret 作为私钥 JWT 进行签名的时候报错。
Jwt选型和实现
qq_45317823的博客
02-19 497
package com.zhjt.zhdataexchange.utils; import io.jsonwebtoken.*; import org.springframework.boot.context.properties.ConfigurationProperties; import org.springframework.stereotype.Component; import jav...
JWT加密解密案例
thinkers
06-19 1万+
------1,创建一个用户对象Userpackage com.xforceplus.hera; public class User { private String userName; private String password; private String tel; public User(String userName,String password,...
JSON WEB TOKEN(JWT)详解以及JAVA项目实战
Youdmeng的博客
05-26 658
1.我们为什么要是用token Token, 令牌,代表执行某些操作的权利,也就是我们进行某些操作的通行证。 1.1 在很久很久以前,我们使用什么做身份认证? 我们都知道 HTTP 是无状态(stateless)的协议:HTTP 对于事务处理没有记忆能力,不对请求和响应之间的通信状态进行保存。 使用 HTTP 协议,每当有新的请求发送时,就会有对应的新响应产生。协议本身并不保留之前一切的请求或响应报文的信息。这是为了更快地处理大量事务,确保协议的可伸缩性,而特意把 HTTP 协议设计成如此简单的。 可是,随
Jwt
m0_63300795的博客
09-04 1605
这篇小案例采用的是模仿网银一类...如果用户在程序规定的时间不请求后端就会失效。
gateway oauth2 jwt security
03-16
网关OAuth2 JWT安全性 网关是一个用于管理和控制访问的系统,OAuth2是一种授权协议,JWT是一种用于身份验证和授权的令牌。网关OAuth2 JWT安全性是指在网关中使用OAuth2和JWT来保护系统的安全性。 网关OAuth2 JWT安全性的实现需要以下步骤: 1. 配置OAuth2服务器:网关需要配置OAuth2服务器来管理和控制访问。 2. 配置JWT令牌:网关需要配置JWT令牌来进行身份验证和授权。 3. 配置安全策略:网关需要配置安全策略来限制访问和保护系统的安全性。 4. 实现安全检查:网关需要实现安全检查来检查访问请求是否符合安全策略。 5. 实现安全日志:网关需要实现安全日志来记录访问请求和安全事件,以便进行审计和调查。 综上所述,网关OAuth2 JWT安全性是一种保护系统安全的重要措施,需要进行细致的规划和实施。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值