java生成Ghost博客系统的jwt token

最新推荐文章于 2023-11-24 21:23:06 发布
最新推荐文章于 2023-11-24 21:23:06 发布
阅读量187 收藏
点赞数
分类专栏: java JWT
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zw3413/article/details/102617210
版权
java 同时被 2 个专栏收录
28 篇文章 0 订阅
订阅专栏
JWT
2 篇文章 0 订阅
订阅专栏

Ghost可以作为一个CMS系统,其提供了Admin API供调用,以接口方式实现对于系统的管理。
其Admin API接口使用两种认证方式:
token方式 认证适合服务端访问Ghost系统;
用户名/密码适合客户端访问。
由于自己是要做一个自定义的客户端工具,来由格式化的数据自动生成博客内容,因此使用用户名/密码方式和token的方式都可以。
Ghost系统,使用了标准的jwt标准的token,鉴于此尝试使用token来做认证。先先后后了解和学习了许多的内容,主要是在spring security体系下面jwt的应用。包括spring security提下下面基于oauth2协议的认证流程。

spring security下面基于OAuth2协议的认证方式目前还记得的大概是这么个流程:

  1. 用户访问资源中心,
  2. 资源中心检测到用户未携带有效的认证信息,将用户重定向到认证中心(同时将目标资源链接作为参数一同携带过去),
  3. 认证中心要求用户输入用户名/密码,验证有效后为目标资源链接生成一个一次性的code返回给用户,
  4. 用户使用这个code再请求认证中心获取到一个token(可以多次使用,但是有有效期),这个token中包含了用户必要信息包括用户名,授权资源信息等,由RSA私钥加密
  5. 用户携带token去访问资源中心,资源中心使用RSA公钥对token解密认证,获取其中携带的信息,如果符合相应资源的权限,则返回资源。同时如果检测到用户携带的token即将过期时,进行续期操作。
    这个应该就是jwt的认证方式,其中主要有用户、资源中心、认证中心三个角色。

言归正传,说回Ghost的jwt token来。Ghost提供了一个两段由冒号分割的Admin Key,前一段是id,后一段是16进制编码的secret。使用这两个信息对需要携带的token信息进行加密,Ghost即可认证,并解密出token中包含的信息。
按照Ghost官方的说法,需要三个步骤:

  1. 将admin key拆分成id和secret字符串
  2. 将secret进行16进制到byte[]的转换
  3. 使用选择的jwt工具库,利用id和转换过的secret,包含进要求的payload和header信息生成一个token即可。

但是自己研究的时候其实并不顺利,主要是auth0原生的jwt库的工具中没有HS256的加密算法,也不支持接收byte[]类型作为加密串。使用spring security的JwtHelper也有类似的问题,没有HS256的算法。
最后去网上找找,发现好几个帖子都在用一个jwt的工具库叫做jjwt,完整的依赖如下:

	    <groupId>io.jsonwebtoken</groupId>
        	<artifactId>jjwt</artifactId>
        	<version>0.9.1</version>
    	</dependency>

有了利器之后,一切都变得顺利起来,完整的生成token的代码如下:

	 public static void connectAsAdmin(String adminApiKey) throws Exception {
    //Split the API key by the : into an id and a secret
    String[] arr = adminApiKey.split(":");
    String id = arr[0];
    String secret = arr[1];
    //Decode the hexadecimal secret into the original binary byte array
    byte[] secretArr=hexToByte(secret);
    //Pass these values to your JWT library of choice, ensuring that the header and payload are correct.
    Map<String,Object> header=new HashMap<>();
    header.put("alg","HS256");
    header.put("kid",id);
    header.put("typ","JWT");
    Map<String,Object> payload=new HashMap<>();
    Long now= new Date().getTime()/1000;
    payload.put("iat",now);
    payload.put("exp",now+5*60);
    payload.put("aud","/v2/admin/");
    String token = Jwts.builder()
            .addClaims(payload)
            .setHeader(header)
            .signWith(SignatureAlgorithm.HS256,secretArr).compact();
    System.out.println(token);
}

其中有个16进制转换byte[]的方法hexToByte

  public static byte[] hexToByte(String hex){
        int m = 0, n = 0;
        int byteLen = hex.length() / 2; // 每两个字符描述一个字节
        byte[] ret = new byte[byteLen];
        for (int i = 0; i < byteLen; i++) {
            m = i * 2 + 1;
            n = m + 1;
            int intVal = Integer.decode("0x" + hex.substring(i * 2, m) + hex.substring(m, n));
            ret[i] = Byte.valueOf((byte)intVal);
        }
        return ret;
    }

这段代码,着实花了不少时间,两周?甚至一个月,也可能最近工作比较忙,也可能回家要忙着抱孩子,借口着实是不少。卡在这里这么久了,也是比较急,但是实际上只要用心去分析,用心去网上找,保持自己在一个较好的状态,实际上问题的解决都是个把小时的事情,关键是解决了问题,以及学习到了一些内容。
除了以上的接口,最近还读了几本书,包括一本《海明威传》《江*民传》,眼下还有一个《乌合之众》在看。同时还看了《烈火英雄》《哪吒之魔童归来》等等电影。
下面还有token的认证等,但是我的项目中token认证是由Ghost系统完成的。

凌渊阁
关注
专栏目录
javaApi JWT token生成以及验证
qq_46859110的博客
09-30 6483
JWT简介 JSON Web token简称JWT, 是用于对应用程序上的用户进行身份验证的标记。也就是说, 使用 JWTS 的应用程序不再需要保存有关其用户的 cookie 或其他session数据。此特性便于可伸缩性, 同时保证应用程序的安全。 在身份验证过程中, 当用户使用其凭据成功登录时, 将返回 JSON Web token, 并且必须在本地保存 (通常在本地存储中)。 每当用户要访问受保护的路由或资源 (端点) 时, 用户代理(user agent)必须连同请求一起发送 JWT, 通常在授权标头
jwt token java_java JWT生成和解析token的使用
weixin_42469749的博客
02-12 1170
以前单体应用控制登录session就够了,后来对于多客户端,可以用cas做统一认证,之前也成功配置过cas5.3.9实现多客户端单点登录单点登出案例,但是也很麻烦,最大的缺点是cas还要另起一个用来做统一认证的服务,占用一个端口,而且也很吃内存,相似原理的还可以用redis等缓存数据库弄一个共享缓存,也可以实现多客户端单点登录的功能,但是这两个的方法都要额外占用端口和服务,直到了解到JWTJWT...
构建RESTFUL服务
Catcher_Ghost的博客
06-03 318
REST简介 REST是一种Web软件架构风格,它是一种风格,而不是标准,匹配或兼容这种架构风格的网络服务称为REST服务.REST服务简洁并且有层次,REST通常基于HTTP,URI和XML以及HTML这些现有的广泛流行的协议和标准.在REST中,资源是由URI来指定的,对资源的增删改查操作可以通过HTTP协议通过GET,POST,PUT,DELETE等方法实现的.使用REST可以更加高效地利用...
Ghost搭建自己的博客
This is bill的专属博客
07-10 6033
Ghost搭建自己的博客 本人最近在学习Java以及Spring框架,为了让自己开发的小网站能跑在云端,于是就在阿里云上买了台与服务器以及域名,买了之后好像用的也不多,觉得挺浪费的,于是就想到了在云服务器上搭建一个博客,用来记录自己平时学习或工作中遇到的问题及心得,我不奢求这个博客能够多么火爆,但如果这个上面的信息能够帮助到有需要的人,我还是非常开心的(好像扯远了~)。 网上的博客
JAVA使用JWT生成token
熙熙小学姐
10-23 2694
JWT(JSON Web Token)简而言之,JWT是一个加密的字符串,JWT传输的信息经过了数字签名,因此传输的信息可以被验证和信任。一般被用来在身份提供者和服务提供者间传递被认证用户的身份信息,以便于从资源服务器获取资源,也可以增加一些额外的业务逻辑所需的声明信息。
动手写一个 Java JWT Token 生成组件
zhangxin09的专栏
06-24 1055
OAuth2 中默认使用 Bearer Tokens (一般用 UUID 值)作为 token 的数据格式,但也支持升级使用 JSON Web Token(JWT) 来作为 token 的数据格式。实际来说,OAuth 规范中并无限制 Token 采取何种格式。今天我们就采用 JWT 来作为 Token,它的一个好处是自描述 Token,包含了用户信息而并不需要通过额外的接口获取用户信息。所谓 JWT Token,本身是明文的,前端得到之后进行 Base64 解码,即可获取用户信息(JSON)。
JWTToken之间的区别
最新发布
分享思想,留下痕迹。
11-24 14万+
✅作者简介:大家好,我是Leo,热爱Java后端开发者,一个想要与大家共同进步的男人😉😉✨特色专栏:🥭本文内容:JWTToken之间的区别,欢迎大家访问📚个人知识库:,欢迎大家访问。
jwt TokenJava生成token python 解析
mtl1994的博客
08-12 1万+
jwt TokenJava生成token python 解析 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录【jwt TokenJava生成token python 解析前言java一、jwt是什么?二、使用步骤1.java2.python 前言 项目场景需要python 接口解析java生成jwt token #### 环境 java ​ com.auth0.jwt.JWT; (ruoyi框架) python ​ pyjwt 一、jwt是什么? JSO
Java 基于JWT生成TokenToken解密
一无是处的靓仔
04-06 1041
一、token与cookie相比较的优势 1、支持跨域访问,将token置于请求头中,而cookie是不支持跨域访问的; 2、无状态化,服务端无需存储token,只需要验证token信息是否正确即可,而session需要在服务端存储,一般是通过cookie中的sessionID在服务端查找对应的session; 3、无需绑定到一个特殊的身份验证方案(传统的用户名密码登陆...
jwt生成token与解析token
翎墨袅
11-06 4634
jwt token
JWT Token生成及验证
07-16
在C#中实现JWT Token生成和验证,主要涉及到以下几个关键知识点: 1. **JWT结构**:每个JWT由三个部分组成,用`.`分隔,分别是Header(头部)、Payload(载荷)和Signature(签名)。头部通常包含令牌类型(`typ`...
JWT Token实现方法及步骤详解
09-07
JWT 用于在不同系统之间安全地传递信息,尤其是用户认证信息,且无需在每次请求时与服务器交互。它由三部分组成:Header、Payload 和 Signature,通过 Base64 编码后连接而成,通常用“.”分隔。 1. Header Header ...
Java中使用JWT生成Token进行接口鉴权实现方法
08-25
Java中使用JWT生成Token进行接口鉴权实现方法 Java中使用JWT生成Token进行接口鉴权实现方法是当前最流行的鉴权方式之一。通过本文,读者可以了解到使用JWT生成Token进行接口鉴权的详细实现方法。 什么是JWTJWT...
spring中使用线程池启动多线程执行任务
zw3413的专栏
07-31 1315
线程池 spring内置了ThreadPoolTaskExecutor线程池,可以直接初始化后声明为bean,在上下文的任意位置进行依赖注入。 线程实例的方法 如果你的线程不需要返回值,可以调用ThreadPoolTaskExecutor bean实例的execute方法, 如果需要返回值,可以调用submit方法。 示例 假设ThreadPoolTaskExecutor 的bean名称为 poo...
java生成公钥秘钥
zw3413的专栏
09-25 870
java自带有秘钥公钥生成工具,位于JAVA_HOME的bin目录下,可以直接在命令行调用。 采用RSA算法生成秘钥和公钥 keytool -genkeypair -alias mykey -keyalg RSA -keypass mykeypassword -keystore mk.keystore -storepass meykeystorepassword 其中 -alias 为秘钥名...
如何方便快速的解析http请求来源情况?
zw3413的专栏
11-09 632
如果你需要记录访问来源的信息,比如操作系统、浏览器类型、浏览器版本等信息,可以使用一下request解析器: https://www.bitwalker.eu/software/user-agent-utils Maven坐标为: eu.bitwalker UserAgentUtils 1.20
常用正则表达式
zw3413的专栏
02-26 562
字符 描述 \d 代表任意数字,就是阿拉伯数字 0-9 这些玩意。 \D 大写的就是和小写的唱反调,\d 你代表的是任意数字是吧?那么我 \D 就代表不是数字的。 \w 代表字母,数字,下划线。也就是 a-z、A-Z、0-9、_。 \W 跟 \w 唱反调,代表不是字母,不是数字,不是下划线的。 \n 代表一个换行。 \r 代表一个回车。 \f 代表换页。 \t 代表一个 Tab 。 \s 代表所有...
ghost admin API的两种认证方式
zw3413的专栏
09-10 543
基于token的认证 Token认证用于处理一般工作流的integration,例如发布内容,或者将内容分享到其他的平台。 使用token,可以将客户端认真为一个integration。每个integration都会有一个API key和webhook,可以独立地执行用户的api请求。Admin API key用于生成短生存时间的单次有效的JSON Web Tokens(JWT), 这个jwt用于...
JAVA字符串操作常见错误
zw3413的专栏
12-23 435
t Java攻城狮 21小时前 1.String 相等 稍微有点经验的程序员都会用equals比较而不是用 ==,但用equals就真的安全了吗,看下面的代码 user.getName().equals(“xiaoming”); 有经验的老司机很快就能看到问题,如果user.getName()为null,就会抛出空指针异常,因此下面的写法更为稳妥 “xiaoming”.equals(user.ge...
java 代码 生成 JWT token
04-28
生成JWT tokenJava代码示例如下: ```java import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import java.util.Date; public class JwtUtil { private static final String SECRET_KEY = "your-secret-key"; // 用于签名的密钥,可以自定义 public static String generateToken(String subject) { Date now = new Date(); Date expiryDate = new Date(now.getTime() + 3600000); // 过期时间为1小时后 return Jwts.builder() .setSubject(subject) .setIssuedAt(now) .setExpiration(expiryDate) .signWith(SignatureAlgorithm.HS512, SECRET_KEY) .compact(); } public static void main(String[] args) { String token = generateToken("user123"); System.out.println(token); } } ``` 其中,`Jwts.builder()` 创建一个JWT token的构建器,`setSubject()` 设置JWT token的主题,`setIssuedAt()` 设置JWT token的签发时间,`setExpiration()` 设置JWT token的过期时间,`signWith()` 设置JWT token的签名算法和密钥,`compact()` 生成JWT token字符串。在上面的示例中,我们使用HS512算法和一个自定义的密钥进行签名。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值