jwt token长度_听说你的JWT库用起来特别扭,推荐这款贼好用的

最新推荐文章于 2023-07-05 21:56:51 发布
最新推荐文章于 2023-07-05 21:56:51 发布
阅读量388 收藏
点赞数
文章标签: jwt token长度 jwt token长度限制 jwt 长度

以前一直使用的是jjwt这个JWT库,虽然小巧够用, 但对JWT的一些细节封装的不是很好。最近发现了一个更好用的JWT库nimbus-jose-jwt,简单易用,API非常易于理解,对称加密和非对称加密算法都支持,推荐给大家!

简介

nimbus-jose-jwt是最受欢迎的JWT开源库,基于Apache 2.0开源协议,支持所有标准的签名(JWS)和加密(JWE)算法。

JWT概念关系

这里我们需要了解下JWT、JWS、JWE三者之间的关系,其实JWT(JSON Web Token)指的是一种规范,这种规范允许我们使用JWT在两个组织之间传递安全可靠的信息。而JWS(JSON Web Signature)和JWE(JSON Web Encryption)是JWT规范的两种不同实现,我们平时最常使用的实现就是JWS。

使用

接下来我们将介绍下nimbus-jose-jwt库的使用,主要使用对称加密(HMAC)和非对称加密(RSA)两种算法来生成和解析JWT令牌。

对称加密(HMAC)

对称加密指的是使用相同的秘钥来进行加密和解密,如果你的秘钥不想暴露给解密方,考虑使用非对称加密。

  • 要使用nimbus-jose-jwt库,首先在pom.xml添加相关依赖;
    com.nimbusds    nimbus-jose-jwt    8.16
  • 创建JwtTokenServiceImpl作为JWT处理的业务类,添加根据HMAC算法生成和解析JWT令牌的方法,可以发现nimbus-jose-jwt库操作JWT的API非常易于理解;
/** * Created by macro on 2020/6/22. */@Servicepublic class JwtTokenServiceImpl implements JwtTokenService {    @Override    public String generateTokenByHMAC(String payloadStr, String secret) throws JOSEException {        //创建JWS头,设置签名算法和类型        JWSHeader jwsHeader = new JWSHeader.Builder(JWSAlgorithm.HS256).                type(JOSEObjectType.JWT)                .build();        //将负载信息封装到Payload中        Payload payload = new Payload(payloadStr);        //创建JWS对象        JWSObject jwsObject = new JWSObject(jwsHeader, payload);        //创建HMAC签名器        JWSSigner jwsSigner = new MACSigner(secret);        //签名        jwsObject.sign(jwsSigner);        return jwsObject.serialize();    }    @Override    public PayloadDto verifyTokenByHMAC(String token, String secret) throws ParseException, JOSEException {        //从token中解析JWS对象        JWSObject jwsObject = JWSObject.parse(token);        //创建HMAC验证器        JWSVerifier jwsVerifier = new MACVerifier(secret);        if (!jwsObject.verify(jwsVerifier)) {            throw new JwtInvalidException("token签名不合法!");        }        String payload = jwsObject.getPayload().toString();        PayloadDto payloadDto = JSONUtil.toBean(payload, PayloadDto.class);        if (payloadDto.getExp() 
  • 创建PayloadDto实体类,用于封装JWT中存储的信息;
/** * Created by macro on 2020/6/22. */@Data@EqualsAndHashCode(callSuper = false)@Builderpublic class PayloadDto {    @ApiModelProperty("主题")    private String sub;    @ApiModelProperty("签发时间")    private Long iat;    @ApiModelProperty("过期时间")    private Long exp;    @ApiModelProperty("JWT的ID")    private String jti;    @ApiModelProperty("用户名称")    private String username;    @ApiModelProperty("用户拥有的权限")    private List authorities;}
  • 在JwtTokenServiceImpl类中添加获取默认的PayloadDto的方法,JWT过期时间设置为60s;
/** * Created by macro on 2020/6/22. */@Servicepublic class JwtTokenServiceImpl implements JwtTokenService {    @Override    public PayloadDto getDefaultPayloadDto() {        Date now = new Date();        Date exp = DateUtil.offsetSecond(now, 60*60);        return PayloadDto.builder()                .sub("macro")                .iat(now.getTime())                .exp(exp.getTime())                .jti(UUID.randomUUID().toString())                .username("macro")                .authorities(CollUtil.toList("ADMIN"))                .build();    }}
  • 创建JwtTokenController类,添加根据HMAC算法生成和解析JWT令牌的接口,由于HMAC算法需要长度至少为32个字节的密钥,所以我们使用MD5加密下;
/** * JWT令牌管理Controller * Created by macro on 2020/6/22. */@Api(tags = "JwtTokenController", description = "JWT令牌管理")@Controller@RequestMapping("/token")public class JwtTokenController {    @Autowired    private JwtTokenService jwtTokenService;    @ApiOperation("使用对称加密(HMAC)算法生成token")    @RequestMapping(value = "/hmac/generate", method = RequestMethod.GET)    @ResponseBody    public CommonResult generateTokenByHMAC() {        try {            PayloadDto payloadDto = jwtTokenService.getDefaultPayloadDto();            String token = jwtTokenService.generateTokenByHMAC(JSONUtil.toJsonStr(payloadDto), SecureUtil.md5("test"));            return CommonResult.success(token);        } catch (JOSEException e) {            e.printStackTrace();        }        return CommonResult.failed();    }    @ApiOperation("使用对称加密(HMAC)算法验证token")    @RequestMapping(value = "/hmac/verify", method = RequestMethod.GET)    @ResponseBody    public CommonResult verifyTokenByHMAC(String token) {        try {            PayloadDto payloadDto  = jwtTokenService.verifyTokenByHMAC(token, SecureUtil.md5("test"));            return CommonResult.success(payloadDto);        } catch (ParseException | JOSEException e) {            e.printStackTrace();        }        return CommonResult.failed();    }}
  • 调用使用HMAC算法生成JWT令牌的接口进行测试;
aae481fcb60bcc2ac8384c2ce2534016.png
  • 调用使用HMAC算法解析JWT令牌的接口进行测试。
4edca066d466b8dbe1f782602af2249a.png

非对称加密(RSA)

非对称加密指的是使用公钥和私钥来进行加密解密操作。对于加密操作,公钥负责加密,私钥负责解密,对于签名操作,私钥负责签名,公钥负责验证。非对称加密在JWT中的使用显然属于签名操作。

  • 如果我们需要使用固定的公钥和私钥来进行签名和验证的话,我们需要生成一个证书文件,这里将使用Java自带的keytool工具来生成jks证书文件,该工具在JDK的bin目录下;
5b0ac4f572f7928ed3a53abc3d3e05c7.png
  • 打开CMD命令界面,使用如下命令生成证书文件,设置别名为jwt,文件名为jwt.jks;
keytool -genkey -alias jwt -keyalg RSA -keystore jwt.jks
  • 输入密码为123456,然后输入各种信息之后就可以生成证书jwt.jks文件了;
a390e2e959a88eb2d5fc457d57865852.png
  • 将证书文件jwt.jks复制到项目的resource目录下,然后需要从证书文件中读取RSAKey,这里我们需要在pom.xml中添加一个Spring Security的RSA依赖;
    org.springframework.security    spring-security-rsa    1.0.7.RELEASE
  • 然后在JwtTokenServiceImpl类中添加方法,从类路径下读取证书文件并转换为RSAKey对象;
/** * Created by macro on 2020/6/22. */@Servicepublic class JwtTokenServiceImpl implements JwtTokenService {    @Override    public RSAKey getDefaultRSAKey() {        //从classpath下获取RSA秘钥对        KeyStoreKeyFactory keyStoreKeyFactory = new KeyStoreKeyFactory(new ClassPathResource("jwt.jks"), "123456".toCharArray());        KeyPair keyPair = keyStoreKeyFactory.getKeyPair("jwt", "123456".toCharArray());        //获取RSA公钥        RSAPublicKey publicKey = (RSAPublicKey) keyPair.getPublic();        //获取RSA私钥        RSAPrivateKey privateKey = (RSAPrivateKey) keyPair.getPrivate();        return new RSAKey.Builder(publicKey).privateKey(privateKey).build();    }}
  • 我们可以在JwtTokenController中添加一个接口,用于获取证书中的公钥;
/** * JWT令牌管理Controller * Created by macro on 2020/6/22. */@Api(tags = "JwtTokenController", description = "JWT令牌管理")@Controller@RequestMapping("/token")public class JwtTokenController {    @Autowired    private JwtTokenService jwtTokenService;        @ApiOperation("获取非对称加密(RSA)算法公钥")    @RequestMapping(value = "/rsa/publicKey", method = RequestMethod.GET)    @ResponseBody    public Object getRSAPublicKey() {        RSAKey key = jwtTokenService.getDefaultRSAKey();        return new JWKSet(key).toJSONObject();    }}
  • 调用该接口,查看公钥信息,公钥是可以公开访问的;
7536cd4140bc55e859d0c6cc7b6019cb.png
  • 在JwtTokenServiceImpl中添加根据RSA算法生成和解析JWT令牌的方法,可以发现和上面的HMAC算法操作基本一致;
/** * Created by macro on 2020/6/22. */@Servicepublic class JwtTokenServiceImpl implements JwtTokenService {    @Override    public String generateTokenByRSA(String payloadStr, RSAKey rsaKey) throws JOSEException {        //创建JWS头,设置签名算法和类型        JWSHeader jwsHeader = new JWSHeader.Builder(JWSAlgorithm.RS256)                .type(JOSEObjectType.JWT)                .build();        //将负载信息封装到Payload中        Payload payload = new Payload(payloadStr);        //创建JWS对象        JWSObject jwsObject = new JWSObject(jwsHeader, payload);        //创建RSA签名器        JWSSigner jwsSigner = new RSASSASigner(rsaKey, true);        //签名        jwsObject.sign(jwsSigner);        return jwsObject.serialize();    }    @Override    public PayloadDto verifyTokenByRSA(String token, RSAKey rsaKey) throws ParseException, JOSEException {        //从token中解析JWS对象        JWSObject jwsObject = JWSObject.parse(token);        RSAKey publicRsaKey = rsaKey.toPublicJWK();        //使用RSA公钥创建RSA验证器        JWSVerifier jwsVerifier = new RSASSAVerifier(publicRsaKey);        if (!jwsObject.verify(jwsVerifier)) {            throw new JwtInvalidException("token签名不合法!");        }        String payload = jwsObject.getPayload().toString();        PayloadDto payloadDto = JSONUtil.toBean(payload, PayloadDto.class);        if (payloadDto.getExp() 
  • 在JwtTokenController类,添加根据RSA算法生成和解析JWT令牌的接口,使用默认的RSA钥匙对;
/** * JWT令牌管理Controller * Created by macro on 2020/6/22. */@Api(tags = "JwtTokenController", description = "JWT令牌管理")@Controller@RequestMapping("/token")public class JwtTokenController {    @Autowired    private JwtTokenService jwtTokenService;    @ApiOperation("使用非对称加密(RSA)算法生成token")    @RequestMapping(value = "/rsa/generate", method = RequestMethod.GET)    @ResponseBody    public CommonResult generateTokenByRSA() {        try {            PayloadDto payloadDto = jwtTokenService.getDefaultPayloadDto();            String token = jwtTokenService.generateTokenByRSA(JSONUtil.toJsonStr(payloadDto),jwtTokenService.getDefaultRSAKey());            return CommonResult.success(token);        } catch (JOSEException e) {            e.printStackTrace();        }        return CommonResult.failed();    }    @ApiOperation("使用非对称加密(RSA)算法验证token")    @RequestMapping(value = "/rsa/verify", method = RequestMethod.GET)    @ResponseBody    public CommonResult verifyTokenByRSA(String token) {        try {            PayloadDto payloadDto  = jwtTokenService.verifyTokenByRSA(token, jwtTokenService.getDefaultRSAKey());            return CommonResult.success(payloadDto);        } catch (ParseException | JOSEException e) {            e.printStackTrace();        }        return CommonResult.failed();    }}
  • 调用使用RSA算法生成JWT令牌的接口进行测试;
3247c276818cf01f9e5e71bf872ff8fd.png
  • 调用使用RSA算法解析JWT令牌的接口进行测试。
1b4fa900bc81e050b063852be146b577.png

参考资料

官方文档:https://connect2id.com/products/nimbus-jose-jwt

作 者:macrozheng

原文链接:https://mp.weixin.qq.com/s/Jo3PZoa7nL99c8UCxPiTTA

weixin_40008870
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JWT简介和使用
A121212789的博客
03-24 1018
在实际的开发中,token不可能一直有效,比如30分钟内一次都没有进行操作,则认证过期,需要重新登录,如果一直在进行请求访问则token一直有效,直到上一次访问距离下一次访问的时间超过了30分钟,则认证过期。有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如tomcat中的session。在 nimbus-jose-jwt 中,使用 Header 类代表 JWT 的头部,不过,Header 类是一个抽象类,我们使用的是它的子类。
jwt token长度限制_安全工具系列 : JWT开发
weixin_39715538的博客
12-03 2112
在一次渗透测试过程中,遇到了一个基于JWT Token认证的网页,于是就有了此文。下面就简要地介绍一下JWT以及如何使用JAVA编写解密的程序。何为JWTJWT,全称JSON Web Token,是一套开放的以JSON为基础的Token认证标准。什么是Token认证呢?比如,服务器可以生成一个Token,该Token具有“以管理员身份登录”的申明,并将其提供给客户端,客户端可以使用该...
jwt token
weixin_60732674的博客
09-20 1187
jwt
jwt生成的token超过了4016k,会报错。解决办法
m0_37588079的博客
01-03 2874
解决方式: 在配置文件:application.yml 【server】添加:max-http-header-size: 102400 server: port: 8000 max-http-header-size: 102400 tomcat可以如下配置:server.xml 在server.xml中 <Connector connectionTimeout="20000" port="8080" protocol="HTTP/1.1" redirectPort="8443" ma.
JWT解析库-nimbus-jose-jwt
成长需要沉淀。
01-05 5763
JWT解析库-nimbus-jose-jwt nimbus-jose-jwt 使用他可以生成或者解析对称加密或者非对称加密的的JWT. JWS是JWT规范的落地实现。 1.依赖 1.1、pom依赖 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
从零开发短视频电商 使用nimbus-jose-jwt进行对称签名和非对称签名的JWT实现
最新发布
laker的博客
07-05 797
JSON Web TokenJWT)是一种开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于安全地在各方之间传输信息,其格式为JSON对象。这些信息可以被验证和信任,因为它们是数字签名的。JWT可以使用对称算法(使用HMAC算法)或非对称算法(使用RSA或ECDSA的公钥/私钥)对进行签名。尽管JWT可以加密以实现机密性(JWK),但我们更多使用的是签名令牌(JWS)。签名令牌可以验证声明的完整性,而加密令牌则隐藏这些声明,不让其他方看到。
Webapi_JWT_Authentication-master_webapi_jwt_token_
10-03
webapi jwt身份验证请求token(亲测通过)源码
jwt_token_test.zip
05-21
java使用jwt实现移动端api接口token认证。使用场景:app调用后台api接口用户验证。---------
JWT Token生成及验证
07-16
JWT Token生成及验证:JSON WEB TOKEN,简单谈谈TOKEN的使用及在C#中的实现
thinkphp框架使用JWTtoken的方法详解
01-03
本文实例讲述了thinkphp框架使用JWTtoken的方法。分享给大家供大家参考,具体如下: 简介 一:JWT介绍:全称JSON Web Token,基于JSON的开放标准((RFC 7519) ,以token的方式代替传统的Cookie-Session模式,用于各...
JWT Token生成及验证(源码)
04-12
JWT Token生成及验证(源码)
【编码实战】2022年还在用jjwt操作jwt?,推荐你使用nimbus-jose-jwt,爽到飞起~
Kevinnsm的博客
03-11 1万+
什么是nimbus-jose-jwt? nimbus-jose-jwt是基于Apache2.0开源协议的JWT开源库,支持所有的签名(JWS)和加密(JWE)算法。 对于JWT、JWS、JWE介绍 JWT是一种规范,它强调了两个组织之间传递安全的信息 JWS是JWT的一种实现,包含三部分header(头部)、payload(载荷)、signature(签名) JWE也是JWT的一种实现,包含五部分内容。 接下来我们将使用对称加密(HMAC)和非对称加密(RSA)两种算法生成和解析JWT令牌。 1
JWT入门以及常见的登录问题
热门推荐
霁晨晨晨的博客
05-31 2万+
本文主要介绍了JWT是什么,如何使用JWT以及实际开发中可能会遇到的有关JWT登录问题,比如token的续签、续期和登出问题等。
一文读懂JWT,JWS,JWE
Java笔记虾
11-24 6315
点击上方“后端技术精选”,选择“置顶公众号”技术文章第一时间送达!作者:zh_coderhttps://blog.csdn.net/hellowordapi/article1.JWT是何物,有哪些常用的场景JWT(json web token)是设计一种简洁,安全,无状态的token的实现规范rfc7519,通常用于网络请求方和网络接收方之间的网络请求认证。jwt的常用场景1.1: restful...
听说你的JWT库用起来特别推荐这款好用的!
macrozheng的专栏
07-07 5525
以前一直使用的是jjwt这个JWT库,虽然小巧够用, 但对JWT的一些细节封装的不是很好。最近发现了一个更好用的JWT库nimbus-jose-jwt,简单易用,API非常易于理解,对称...
基于golang-jwt实现简易jwe,加密关键数据
weixin_46228614的博客
04-03 476
我打算使用golang-jwt来做登录,但是在使用jwt的时候,发现放在token中的数据单纯是json经过base64转码后的结果,通过base64转码就可以得到明文,十分地不安全,后面翻看了官方文档,文档中明确说明没有加密,要想加密,请使用jwe随后,我去看了,描述说目前公共API十分不稳定,距离稳定版还差得远,所以放弃了使用jwe。
jwt 长度_.NET Core中使用jwt进行认证
weixin_39685674的博客
12-03 280
(给DotNet加星标,提升.Net技能)转自:hello-*-worldcnblogs.com/HTLucky/p/13622328.html前言JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间作为JSON对象安全地传输信息。由于此信息是经过数字签名的,因此可以被验证和信任。可以使用秘密(使用HMAC算法)或使用R...
jwt token长度限制_(建议收藏) | Spring Boot集成JSON Web TokenJWT
weixin_39807896的博客
11-21 1万+
一:认证在了解JWT之前先来回顾一下传统session认证和基于token认证。1.1 传统session认证http协议是一种无状态协议,即浏览器发送请求到服务器,服务器是不知道这个请求是哪个用户发来的。为了让服务器知道请求是哪个用户发来的,需要让用户提供用户名和密码来进行认证。当浏览器第一次访问服务器(假设是登录接口),服务器验证用户名和密码之后,服务器会生成一个sessionid(只有第一次...
系统登陆验证过程(验证token是否合理)
m0_57037182的博客
03-17 1684
现在我主要介绍一下,用户后台登陆系统之后,使用token来校验用户是否合法,使用户信息保持正确。相关代码我已放入下面,有需要的朋友即可尝试一下。 1.首先看到web.xml <!--配置,解决请求乱码问题--> <filter> <filter-name>CharacterEncodingFilter</filter-name> <filter-class>org.springfram...
JWT_REFRESH_TOKEN_EXPIRES 怎么使用,给我写一个例子
03-20
JWT_REFRESH_TOKEN_EXPIRES 是一个用于设置 JWT 刷新令牌过期时间的变量,它通常与 JWT_ACCESS_TOKEN_EXPIRES 一起使用。下面是一个使用 Flask-JWT-Extended 扩展的例子: ```python from flask import Flask from ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值