如何在Java 中创建和验证JWT

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了如何在Java 中创建和验证JWT相关的知识,希望对你有一定的参考价值。

用户发起登录请求,服务端创建一个加密后的jwt信息,作为token返回值,在后续请求中jwt信息作为请求头,服务端正确解密后可获取到存储的用户信息,表示验证通过;解密失败说明token无效或者已过期。
加密后jwt信息如下所示,是由.分割的三部分组成,分别为Header、Payload、Signature。
eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiJqd3QiLCJpYXQiOjE0NzEyNzYyNTEsInN1YiI6IntcInVzZXJJZFwiOjEsXCJyb2xlSWRcIjoxfSIsImV4cCI6MTQ3MTMxOTQ1MX0.vW-pPSl5bU4dmORMa7UzPjBR0F6sqg3n3hQuKY8j35o

Header包含两部分信息,alg指加密类型,可选值为HS256、RSA等等,typ=JWT为固定值,表示token的类型。

"alg": "HS256",
"typ": "JWT"


Payload是指签名信息以及内容,一般包括iss (发行者), exp (过期时间), sub(用户信息), aud (接收者),以及其他信息,详细介绍请参考官网。

"sub": "1234567890",
"name": "John Doe",
"admin": true


Signature则为对Header、Payload的签名。
HMACSHA256( base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)

在jwt官网,可以看到有不同语言的实现版本,这里使用的是Java版的jjwt。话不多说,直接看代码,加解密都很简单:
/**
* 创建 jwt
* @param id
* @param subject
* @param ttlMillis
* @return
* @throws Exception
*/
public String createJWT(String id, String subject, long ttlMillis) throws Exception
SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256 ;
long nowMillis = System. currentTimeMillis();
Date now = new Date( nowMillis);
SecretKey key = generalKey();
JwtBuilder builder = Jwts. builder()
.setId(id)
.setIssuedAt(now)
.setSubject(subject)
.signWith(signatureAlgorithm, key);
if (ttlMillis >= 0)
long expMillis = nowMillis + ttlMillis;
Date exp = new Date( expMillis);
builder.setExpiration( exp);

return builder.compact();


/**
* 解密 jwt
* @param jwt
* @return
* @throws Exception
*/
public Claims parseJWT(String jwt) throws Exception
SecretKey key = generalKey();
Claims claims = Jwts. parser()
.setSigningKey( key)
.parseClaimsJws( jwt).getBody();
return claims;


加解密的key是通过固定字符串转换而生成的;subject为用户信息的json字符串;ttlMillis是指token的有效期,时间较短,需要定时更新。
这里要介绍的token刷新方式,是在生成token的同时生成一个有效期较长的refreshToken,后续由客户端定时根据refreshToken来获取最新的token。浏览器与服务端之间建立sse(server send event)请求,来实现刷新。关于sse在前面博文中有介绍过,此处略过不提。
参考技术A passport只是一个用来验证的库,而jwt是一种规范。

如何使用 npm Jose 创建签名的 JWT,然后验证此令牌?

【中文标题】如何使用 npm Jose 创建签名的 JWT,然后验证此令牌?【英文标题】:How can I create a signed JWT using npm Jose and then verify this token? 【发布时间】:2021-11-06 14:15:40 【问题描述】:

我很难理解如何使用 npm jose 模块 (https://www.npmjs.com/package/jose) 在我的 Node 应用程序中创建和验证签名的 JWT 令牌。我的场景是这样的:我想签署一个经过身份验证的请求以访问资源。我可以成功地为此请求授予令牌创建一个 JWT 声明,该声明尊重“its”和“aud”、“exp”等的属性,但我想对其进行签名(也就是说,使用 SignJWT 对象和“sign”方法),以便当它作为请求传回我的服务器时,我可以验证它并授予或拒绝访问。 “sign”方法似乎不喜欢我为“key”参数传递的任何东西(我没有传递任何选项——也许我应该传递,但是什么?)。 我正在尝试使用 RSA 密钥对。我想用私钥签名并用公钥验证。对于我的迫切需要,我想我可以改用对称密钥,但我正在考虑其他一些未来的场景,我需要这种经典的 PKCS 证书密钥关系。无论如何,我认为这个选择与目前阻碍我进步的障碍没有任何关系。 我首先尝试使用 jose/util/generate_key_pair 创建我的公共/私人对。但是当我去使用密钥时,错误告诉我这不受我的实现支持。所以我转而尝试在我的应用程序之外创建一个“pem”证书并应用它(作为文本),但这也失败了。 “sign”方法报告密钥必须是“KeyLike”、“CryptoKey”或“Uint8Array”类型。好吧,UInt8Array(节点缓冲区)没有足够的类型信息:它不说明缓冲区中的内容,而且“KeyLike”是一个模糊的定义,可以忽略不计。在恳求搜索引擎的神谕之后,我发现我可以使用 Node API 中的以下内容创建 CryptoKey 格式的密钥对:

crypto.webcrypto.subtle.generateKey(
    
        name: 'RSASSA-PKCS1-v1_5',
        modulusLength: 2048,
        publicExponent: new Uint8Array([1, 0, 1]),
        hash: "SHA-256"
    ,
    true,
    [‘sign’, ‘verify’]
).then((pair:any) => 
    serverInstance.keyPair = pair
)

但是,当我进入签名部分时: siaToken.sign(serverInstance.keyPair.privateKey).then(signature =>

我收到一个异常报告 “TypeError: CryptoKey 不支持此操作”

认为这可能与 generateKey 的“usages”参数有关,我在那里尝试了各种值,但没有成功。

所以,我很困惑。谁能告诉我如何 (a) 最好地为此目的生成一对密钥,以及 (b) 如何将这些密钥应用于 JWT 签名?

【问题讨论】:

【参考方案1】:

到目前为止,生成密钥材料的最简单方法是使用generateKeyPair。该方法与运行时无关,只需要一个参数 - 您希望与目标密钥对一起使用的算法标识符。如果您携带自己的密钥,则必须注意密钥的不同 requirements 才能被算法使用。

并非每个运行时的加密功能都可以支持每种算法,每个运行时的可用算法列表是可用的here。

此外 - 导入 SPKI/PKCS8 编码的密钥材料是特定于平台的,并通过特定于平台的 API 完成。以KeyLike 结尾的方式(CryptoKey(Web)、KeyObject(节点)或 Uint8Array(对称秘密)的类型别名记录在KeyLike alias documentation 中,从每个使用它的函数文档链接。

如果您要为您的步骤提供任何实际的复制代码,我很乐意提供帮助。

“sign”方法报告密钥必须是“KeyLike”、“CryptoKey”或“Uint8Array”类型。

我很确定它在运行时显示KeyObject,KeyLike 只是一个类型别名,涵盖适用于不同算法和运行时的所有不同类型的输入。

【讨论】:

这是正确答案。我认为密钥的导入是非对称算法最重要的特性,否则在扩展集群实例中会使用不同的密钥。【参考方案2】:

我也在努力使用jose 签名和验证 JWT,但最终能够成功使用 HS256 对称密钥加密。我按照以下步骤制作了它(我使用jose-node-cjs-runtime 仅用于 Node.js 用例。随意替换为所需的包。另外请注意,我发现这些代码适用于 Node.js 版本 16.7.0, 16.9.0 所以请确保已安装其中任何一个。如果要将这些更改部署到生产环境,则还必须确保部署环境具有相同的 Node.js 版本。可以实现的一种方法是提及engines 中的 Node.js 版本,package.json 中键入):

添加必需的导入

// library for generating symmetric key for jwt
const  createSecretKey  = require('crypto');
// library for signing jwt
const  SignJWT  = require('jose-node-cjs-runtime/jwt/sign');
// library for verifying jwt
const  jwtVerify  = require('jose-node-cjs-runtime/jwt/verify');

创建KeyObject 类型的密钥

KeyObject 被 Node.js 推荐用于生成对称、非对称密钥时使用。使用以下代码生成 KeyObject 类型的对称密钥对象并将其存储在 secretKey 中。

const secretKey = createSecretKey(process.env.JWT_SECRET, 'utf-8');

用足够长的字符串替换process.env.JWT_SECRET。它需要足够长(使用长度至少为 32 的字符串),否则在签署 JWT 时会抛出以下错误:HS256 要求对称密钥为 256 位或更大

签署 JWT

(async () => 
  const token = await new SignJWT( id: '12345' ) // details to  encode in the token
      .setProtectedHeader( alg: 'HS256' ) // algorithm
      .setIssuedAt()
      .setIssuer(process.env.JWT_ISSUER) // issuer
      .setAudience(process.env.JWT_AUDIENCE) // audience
      .setExpirationTime(process.env.JWT_EXPIRATION_TIME) // token expiration time, e.g., "1 day"
      .sign(secretKey); // secretKey generated from previous step
  console.log(token); // log token to console
)();

验证 JWT

我们也将使用存储在secretKey 中的相同对称密钥进行验证。以下代码可用于从请求标头中提取令牌(在 Express 应用中)并验证令牌:

(async () => 
    // extract token from request
    const token = req.header('Authorization').replace('Bearer ', '');
    try 
      // verify token
      const  payload, protectedHeader  = await jwtVerify(token, secretKey, 
        issuer: process.env.JWT_ISSUER, // issuer
        audience: process.env.JWT_AUDIENCE, // audience
      );
      // log values to console
      console.log(payload);
      console.log(protectedHeader);
     catch (e) 
      // token verification failed
      console.log("Token is invalid");
    
)();

【讨论】:

谢谢。这行得通。这不是我最初寻找的非对称密钥,但就像我说的那样,我现在不需要那个功能,如果我到达它,我可以尝试越过那座桥。我还没有尝试使用此签名验证令牌(在那之前我还有其他问题要处理)但我相信它可以使用这种格式,因为它已经无缝地做到了这一点。 后续:是的,验证操作也按预期工作。再次感谢。 我也添加了令牌验证步骤。感谢您指出这一点。 荣誉,节省了我很多时间和头痛,我也可以确认它工作正常。对于那些坚持使用常规 jose 的人,我建议尝试单独的节点版本。我添加了回发布者、受众和 issusedAt() 以通过顺利验证。 jwtVerify 在失败时是否返回 null 或抛出异常?

以上是关于如何在Java 中创建和验证JWT的主要内容,如果未能解决你的问题,请参考以下文章

如何使用 npm Jose 创建签名的 JWT,然后验证此令牌?

在 Java 中创建 JWT,在 Node 中验证很热门?

在java中创建和初始化对象

在Java程序中创建和转换PDF文件

使用 SQL 在现有表中创建和填充主键列

如何在 Mongoose 中创建和使用枚举