jose4j+RS256、jjwt+RS256两种方式生成与校验jwt

最新推荐文章于 2024-05-16 09:42:51 发布
最新推荐文章于 2024-05-16 09:42:51 发布
阅读量2.6k 收藏 3
点赞数 1
文章标签: jwt rsa
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42765596/article/details/106237996
版权

一、什么是jwt

http://www.ruanyifeng.com/blog/2018/07/json_web_token-tutorial.html

二、使用RS256非对称加密

RS256和HS256的区别:

JWT签名算法中,一般有两个选择,一个采用HS256,另外一个就是采用RS256。
签名实际上是一个加密的过程,生成一段标识(也是JWT的一部分)作为接收方验证信息是否被篡改的依据。

RS256 (采用SHA-256 的 RSA 签名) 是一种非对称算法, 它使用公共/私钥对: 标识提供方采用私钥生成签名, JWT 的使用方获取公钥以验证签名。由于公钥 (与私钥相比) 不需要保护, 因此大多数标识提供方使其易于使用方获取和使用 (通常通过一个元数据URL)。

HS256 (带有 SHA-256 的 HMAC 是一种对称算法, 双方之间仅共享一个 密钥。由于使用相同的密钥生成签名和验证签名, 因此必须注意确保密钥不被泄密。

在开发应用的时候启用JWT,使用RS256更加安全,你可以控制谁能使用什么类型的密钥。另外,如果你无法控制客户端,无法做到密钥的完全保密,RS256会是个更佳的选择,JWT的使用方只需要知道公钥。

由于公钥通常可以从元数据URL节点获得,因此可以对客户端进行进行编程以自动检索公钥。如果采用这种方式,从服务器上直接下载公钥信息,可以有效的减少配置信息。

三、代码

pom.xml引入依赖:

<!-- https://mvnrepository.com/artifact/org.bitbucket.b_c/jose4j -->
        <dependency>
            <groupId>org.bitbucket.b_c</groupId>
            <artifactId>jose4j</artifactId>
            <version>0.6.5</version>
        </dependency>
<!-- https://mvnrepository.com/artifact/io.jsonwebtoken/jjwt -->
	  <dependency>
		  <groupId>io.jsonwebtoken</groupId>
		  <artifactId>jjwt</artifactId>
		  <version>0.9.1</version>
	  </dependency>
 <!-- https://mvnrepository.com/artifact/org.bouncycastle/bcprov-jdk16 -->
	  <dependency>
		  <groupId>org.bouncycastle</groupId>
		  <artifactId>bcprov-jdk16</artifactId>
		  <version>1.46</version>
	  </dependency>

公钥、私钥通过文件读取
在这里插入图片描述
jwtUtil工具类

package cnki.tpi.pac4j;

import cn.hutool.core.io.resource.ClassPathResource;
import cn.hutool.core.io.resource.Resource;
import cnki.tpi.exception.InvalidJwtException;
import cnki.tpi.util.ConstantUtil;
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import lombok.experimental.UtilityClass;
import lombok.extern.slf4j.Slf4j;
import org.apache.commons.io.IOUtils;
import org.apache.tomcat.util.codec.binary.Base64;
import org.jose4j.jws.AlgorithmIdentifiers;
import org.jose4j.jws.JsonWebSignature;
import org.jose4j.jwt.JwtClaims;
import org.jose4j.jwt.consumer.JwtConsumer;
import org.jose4j.jwt<
最低0.47元/天 解锁文章
猿来八荒
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JWT(auth0):RS256非对称加密算法实现Token的签发、验证
西门阿浪的博客
05-31 5780
前言  日常开发中,客户端与服务器通常采用HTTP协议进行通信,但HTTP是没有状态的,无法记录用户的身份信息和行为。  会话跟踪技术是一种在客户端与服务器间保持HTTP状态的解决方案,我们所熟知的有Cookie + Session、URL重写、Token等。  Cookie在浏览器保存SessionID、Session实际内容保存在服务端,目前的项目都是前后端分离 + 微服务,所以会面临Session共享问题,随着用户量的增多,开销就会越大。URL重写又是通过明文传输,不安全容易被劫持。   Toke.
jwt解析验证token-RS256
大数据爱好者
11-06 2357
package com.irootech.customercloud.common.util; import io.jsonwebtoken.Claims; import io.jsonwebtoken.JwsHeader; import io.jsonwebtoken.Jwt; import io.jsonwebtoken.Jwts; import org.apache.commons.cod...
jwt RS256 通过公钥验证token
qq_31546841的博客
07-02 5401
private static String public_Key = "-----BEGIN PUBLIC KEY-----" + "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAnzyis1ZjfNB0bBgKFMSv" + "vkTtwlvBsaJq7S5wA+kzeVOVpVWwkWdVha4s38XM/pa/yr47av7+z3VTm...
keycloak~jwtrs256签名的验证方式
2401_84058604的博客
04-18 945
需要注意的是,以上jwt的token签名使用rs256(SHA256withRSA)算法生成的签名,所以本例子都是采用这种签名算法实现的,例外,也有h256,h512等哈希算法。因此,可以说RS256RSA算法的一种特定应用,用于数字签名,并且结合了SHA-256哈希算法。总结来说,RSA算法通过公钥加密、私钥解密的方式实现信息的安全传输,公钥用于加密数据,私钥用于解密数据;反过来,私钥可以用来生成签名,而公钥可以用来验证签名的有效性。RSA算法是一种非对称加密算法,其安全性基于大整数分解的困难性。
推荐开源项目:JOSE - 安全且强大的JWT、JWS和JWE库
最新发布
gitblog_00050的博客
05-16 437
推荐开源项目:JOSE - 安全且强大的JWT、JWS和JWE库 项目地址:https://gitcode.com/SermoDigital/jose 1、项目介绍 JOSE,即JSON Object Signing and Encryption的缩写,是一个全面的、用于创建、解析和验证JWT(JSON Web Tokens)、JWS(JSON Web Signatures)以及JWE(JSON ...
RS256加密JWT生成、验证
热门推荐
张林强的专栏
04-16 2万+
最近项目上由于集成需求,需要实现单点登录,经过考虑后选择了JWTRS256公私玥加密方式实现,搜索后发现基于RS256的实现不太多,大多基于HS256对称加密,加密解密用同一SecretKey,泄漏后安全方面彻底崩坏,有些提到RS256的都是一些支离破碎的代码,没有什么参考价值。经过google,加上自己的整理,关键demo代码整理如下:import junit.framework.TestCa...
jose4j / JWT Examples
weixin_34375054的博客
12-23 427
jose4j / JWT Examples View History JSON Web Token (JWT) Code Examples Producing and consuming a signed JWT Using an HTTPS JWKS endpoint Using JWKs X.509 Something else? (X.509 Certifi...
jwt jose.4.j实现
lt1693016523的博客
09-26 6931
基于Token的身份验证——JWT(token介绍转载) 1. JWT介绍 初次了解JWT,很基础,高手勿喷。 基于Token的身份验证用来替代传统的cookie+session身份验证方法中的session。 1.1 JWT是啥? JWT就是一个字符串,经过加密处理与校验处理的字符串,形式为: A.B.C A由JWT头部信息header加密得到 B由JWT用到的身份验证信息jso...
php rs256,用 RS256 算法验证 JWTJWT:JSON Web Token 》
weixin_28267011的博客
03-21 337
再去验证一下用 RS256 算法签发的这个 JWT .. 验证要用到公钥内容 ... 可以先添加一个 publicKey ,用一下 fs 的 readFileSync 读一下 ./config/public.key 这个文件里的东西 ..验证用的是 jsonwebtoken 的 verify 方法 .. 先把要验证的 token 交给它 ... 这个 token 是用 RS256 算法签发...
camel-jose:[DEAD] Apache Camel + jose4j
05-02
在这个项目"camel-jose"中,Apache Camel 与 jose4j 库结合,提供了在Camel路由中处理JOSE对象的能力。 首先,我们需要了解JOSE4j。JOSE4j是Java实现的JOSE库,提供了对JWT、JWE和JWS的全面支持。它能够创建、解析...
nimbus-jose-jwt-4.41.1-API文档-中文版.zip
06-26
赠送jar包:nimbus-jose-jwt-4.41.1.jar; 赠送原API文档:nimbus-jose-jwt-4.41.1-javadoc.jar; 赠送源代码:nimbus-jose-jwt-4.41.1-sources.jar; 赠送Maven依赖信息文件:nimbus-jose-jwt-4.41.1.pom; 包含...
JWT-RS256.rar
06-15
命令生成JWT-RS256非对称加密公钥和私钥串,费了很大的力气在网上搜索,在这里贡献了,如果对你有用,记得点赞,谢谢。
JWTRS256和HS256签名算法Demo.zip
03-23
最近需要使用JWT_RS256做签名校验,网上相关的资源比较少,所以写了JWT的常用的两种签名密钥Demo,希望对JWT的小白们有帮助
SpringBoot2.6整合SpringSecurity+JWT
01-11
1. **添加依赖**:首先,在`pom.xml`文件中引入Spring Security和JWT的相关依赖,如`spring-security-oauth2-jose`和`jjwt`库。 2. **配置Spring Security**:创建一个`SecurityConfig`类,继承`...
jose-jwtJOSEJWT标准的Haskell实现
02-04
JWT(JSON Web Tokens)是JOSE家族的一部分,它提供了一种紧凑且自包含的方式来安全地传输信息作为JSON对象。这个信息可以被验证和信任,因为它是数字签名的。在Haskell编程语言中,`jose-jwt`库是实现JOSEJWT标准的...
nimbus-jose-jwt-3.9-API文档-中文版.zip
04-23
赠送jar包:nimbus-jose-jwt-3.9.jar; 赠送原API文档:nimbus-jose-jwt-3.9-javadoc.jar; 赠送源代码:nimbus-jose-jwt-3.9-sources.jar; 赠送Maven依赖信息文件:nimbus-jose-jwt-3.9.pom; 包含翻译后的API文档...
jwt生成和解密-jose4j
i_am_bad_man的博客
04-13 974
jwt生成和解密
JWT RS256 base64 md5 解释
VIC1921507475的博客
02-10 3315
JWT RS256 base64 md5 1.什么是JWT JWT由三部分组成(Header,Payload,Signature),可以把用户名、角色等无关紧要的信息保存到Payload部分。 Header:base64enc({ "alg":"HS256","TYPE":"JWT"})  // eyAiYWxnIjoiSFMyNTYiLCJUWVBFIjoiSldUIn0= Payload:base64enc({"user":"vichin","pwd":"weichen123"})  //用户的
jwt token实现rs256非对称算法demo
u013343616的博客
02-14 1090
jwt token根据rs256非对称算法实现demo
springboot + jwt
09-07
Spring Boot 是一个开源的 Java 开发框架,它简化了 Spring 应用程序的配置和部署。它通过提供一个约定大于配置的方式,使得开发者能够快速构建独立运行的、生产级别的 Spring 应用程序。 JWT(JSON Web Token)是一种用于身份验证和授权的开放标准。它使用 JSON 对象来传递被加密的安全声明,以便在客户端和服务器之间进行安全的数据传输。JWT 通常由三个部分组成:头部(Header),载荷(Payload)和签名(Signature)。头部包含了加密算法和类型信息,载荷包含了需要传输的数据,签名用于验证数据的完整性。 在 Spring Boot 中使用 JWT 可以实现无状态的身份验证和授权。用户在登录成功后将获得一个 JWT,之后每次请求都需要在请求头中携带该令牌。服务器可以根据 JWT 验证用户身份并授权访问相应资源。 要在 Spring Boot 中使用 JWT,你可以使用一些第三方库,如 jjwt、Nimbus JOSE + JWT 等。这些库提供了一些便捷的方法来生成、解析和验证 JWT。 你可以在 Spring Boot 中配置一个拦截器或过滤器来验证请求中的 JWT,并根据验证结果决定是否允许访问资源。同时,你也可以使用 Spring Security 来集成 JWT 来实现更复杂的权限控制和角色管理。 希望这个回答能够解决你对 Spring Boot 和 JWT 的疑问!如果你有任何其他问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值