token系列2—解析(解码)及实际应用
解析Token
private static Claims getClaimsFromToken(String token) {Claims claims;try {claims = Jwts.parser().setSigningKey("签名算法的盐值key").parseClaimsJws(token).getBody();} catch (Exception e) {claims = null;}return claims;
}
上述代码从JWT Token中获取了负载。
与Builder类似,Jwts.parser() 返回了DefaultJwtParser 对象
DefaultJwtParser 类源码解析
//don't need millis since JWT date fields are only second granularity:
private static final String ISO_8601_FORMAT = "yyyy-MM-dd'T'HH:mm:ss'Z'";
private static final int MILLISECONDS_PER_SECOND = 1000;private ObjectMapper objectMapper = new ObjectMapper();private byte[] keyBytes; //签名key字节数组
private Key key; //签名key
private SigningKeyResolver signingKeyResolver; //签名Key解析器
private CompressionCodecResolver compressionCodecResolver = new DefaultCompressionCodecResolver(); //压缩解析器
Claims expectedClaims = new DefaultClaims(); //期望Claims
private Clock clock = DefaultClock.INSTANCE; //时间工具实例
private long allowedClockSkewMillis = 0; //允许的时间偏移量
setSigningKey() 与builder中签名方法signWith()对应,parser中的此方法拥有与signWith()方法相同的三种参数形式,用于设置JWT的签名key,用户后面对JWT进行解析。
isSigned() 校验JWT是否进行签名。方法很简单,以分隔符" . ",截取JWT第三段,即签名部分进行判断。
parse() 方法传入一个JWT字符串,返回一个JWT对象。
解析过程:
1、切分。
以分隔符" . "切分JWT的三个部分。
如果分隔符数量错误或者载荷为空,将抛出 MalformedJwtException 异常。
2、头部解析。
将头部原始Json键值存入map。根据是否加密创建不同的头部对象。jjwt的DefaultCompressionCodecResolver根据头部信息的压缩算法信息,添加不同的压缩解码器。
JJWT automatically detects that compression was used by examining the header and will automatically decompress when parsing. No extra coding is needed on your part for decompression.
3、负载解析。
先对负载进行Base64解码,如果有经过压缩,那么在解码后再进行解压缩。
此时将值赋予payload:如果负载是json形式,将json键值读入map,将值赋予claims 。
if (payload.charAt(0) == '{' && payload.charAt(payload.length() - 1) == '}') { //likely to be json, parse it:Map<String, Object> claimsMap = readValue(payload);claims = new DefaultClaims(claimsMap);}
4、签名解析。
如果存在签名部分,则对签名进行解析。
(1)首先根据头部的签名算法信息,获取对应的算法。
如果签名部分不为空,但是签名算法为null或者’none’,将抛出MalformedJwtException异常。
(2)获取签名key
重复异常
如果同时设置了key属性和keyBytes属性,parser不知道该使用哪个值去作为签名key解析,将抛出异常。
如果key属性和keyBytes属性只存在一个,但是设置了signingKeyResolver,也不知道该去解析前者还是使用后者,将抛出异常。
如果设置了key(setSigningKey() 方法)则直接使用生成Key对象。如果两种形式( key和keyBytes )都没有设置,则使用SigningKeyResolver(通过setSigningKeyResolver()方法设置)获取key。
当然,获取key为null会抛出异常。
(3)创建签名校验器
JJWT实现了一个默认的签名校验器DefaultJwtSignatureValidator。该类提供了两个构造方法,外部调用的构造方法传入算法和签名key,再加上一个DefaultSignatureValidatorFactory工厂实例传递调用另一个构造函数,以便工厂根据不同算法创建不同类型的Validator。
public DefaultJwtSignatureValidator(SignatureAlgorithm alg, Key key) {this(DefaultSignatureValidatorFactory.INSTANCE, alg, key);}public DefaultJwtSignatureValidator(SignatureValidatorFactory factory, SignatureAlgorithm alg, Key key) {Assert.notNull(factory, "SignerFactory argument cannot be null.");this.signatureValidator = factory.createSignatureValidator(alg, key);}
这里和builder类似。
(4)比对验证
根据头部和载荷重新计算签名并比对。
如果不匹配,抛出SignatureException异常。
(5)时间校验
根据当前时间和时间偏移判断是否过期。
根据当前时间和时间偏移判断是够未到可接收时间。
(6)Claims参数校验
即校验parser前面设置的所以require部分。校验完成后,以header,claims或者payload创建DefaultJwt对象返回。
至此,已经完成JWT Token的校验过程。校验通过后返回JWT对象。
- parse(String compact, JwtHandler handler)方法根据 parse(String jwt) 解析返回的JWT对象类型以及Body是payload还是claims,采用不同的适配器处理。
解析时也可直接指定适配器。 - parsePlaintextJwt 载荷为文本(不是Json),未签名
- parseClaimsJwt 载荷为claims(即Json),未签名
- parsePlaintextJws 载荷为文本(不是Json),已签名
- parseClaimsJws 载荷为claims(即Json),已签名
实际运用
声明常量属性
@Autowiredprivate SpSysUserService spSysUserService;private static SpSysUserService sysUserService;//其实就是用户自定义的用户服务,查询数据库中用户信息的@PostConstructpublic void init() {sysUserService = this.spSysUserService;}@Autowiredprivate HttpServletRequest request;private static final long serialVersionUID = 1L;/*** 用户名称*/private static final String USERNAME = Claims.SUBJECT; //Claims类中 public static final String SUBJECT = "sub";private static final String AUDIENCE = "audience";/*** 创建时间*/private static final String CREATED = "created";/*** 权限列表*/private static final String AUTHORITIES = "authorities";/*** 密码*/private static final String USERID = Claims.ID;//Claims类中 public static final String ID = "jti";/*** 签名的时候的盐值key*/private static final String SECRET = "ahdxDict@2021!";/*** 有效期24小时*/private static final long EXPIRE_TIME = 24 * 60 * 60 * 1000;
1、产生token
/*** 封装一个claim对象,其实就是一个map,里面放各种参数*/
public static String generateToken(SpSysUser spSysUser) {Map<String, Object> claims = new HashMap<>(3);claims.put(USERNAME, spSysUser.getUserName());claims.put(CREATED, new Date());claims.put(USERID, spSysUser.getUserId());return generateToken(claims);
}/*** 从claim生成令牌* @param claims 数据声明* @return 令牌*/
private static String generateToken(Map<String, Object> claims) {Date expirationDate = new Date(System.currentTimeMillis() + EXPIRE_TIME);return Jwts.builder().setClaims(claims)//设置负载(Claims和payLoad不能同时设置,只能二选一).setExpiration(expirationDate) //.signWith(SignatureAlgorithm.HS512, SECRET).compact();
}
2、获取Token
/*** 获取请求token:从http请求中获取** @param request* @return*/
public static String getToken(HttpServletRequest request) {String token = request.getHeader("authAuthorization");String tokenHead = "Bearer ";if (token == null) {token = request.getHeader("token");} else if (token.contains(tokenHead)) {token = token.substring(tokenHead.length());}if ("".equals(token)) {token = null;}return token;
}
3、获取Claim
/**
* 从令牌中获取数据声明
* @param token 令牌
* @return 数据声明
*/private static Claims getClaimsFromToken(String token) {Claims claims;try {claims = Jwts.parser().setSigningKey(SECRET).parseClaimsJws(token).getBody();} catch (Exception e) {claims = null;}return claims;}
4、获取用户
/**
* 从token获取用户
*
* @return 用户名
*/
public static SpSysUser getUserFromToken() {HttpServletRequest request = ((ServletRequestAttributes) RequestContextHolder.getRequestAttributes()).getRequest();// 获取请求携带的令牌String token = JwtTokenUtils.getToken(request);SpSysUser spSysUser = null;String userId = null;if (token != null) {log.debug("=======获取token成功,开始解析token:" + token);Claims claims = getClaimsFromToken(token);if (claims == null) {log.debug("=======token解析claims失败======,token:" + token);throw new RuntimeException("token已过期或验证不正确!");}userId = claims.getId();if (userId == null) {log.debug("=======claims解析后的userId不存在,token解析失败========");throw new RuntimeException("token解析失败!");}log.debug("=======token解析完毕,验证用户是否存在!=========");QueryWrapper queryWrapper = new QueryWrapper();queryWrapper.eq("user_id", userId);spSysUser = sysUserService.getOne(queryWrapper, true);}return spSysUser;
}
5、获取用户id
public static String getUserIdFromToken() {HttpServletRequest request = ((ServletRequestAttributes) RequestContextHolder.getRequestAttributes()).getRequest();// 获取请求携带的令牌String token = JwtTokenUtils.getToken(request);String userId = null;if (token != null) {log.debug("=======获取token成功,开始解析token:" + token);Claims claims = getClaimsFromToken(token);if (claims == null) {log.debug("=======token解析claims失败======,token:" + token);throw new RuntimeException("token已过期或验证不正确!");}userId = claims.getId();}return userId;
}
6、获取用户名
/*** 从令牌中获取用户名** @param token 令牌* @return 用户名*/public static String getUsernameFromToken(String token) {String username;try {Claims claims = getClaimsFromToken(token);username = claims.getSubject();} catch (Exception e) {username = null;}return username;}
7、验证token
/**
* 验证令牌
* @param token
* @param username
* @return
*/
public static Boolean validateToken(String token, String username) {String userName = getUsernameFromToken(token);return (userName.equals(username) && !isTokenExpired(token));
}
8、刷新令牌
/*** 刷新令牌* @param token* @return*/
public static String refreshToken(String token) {String refreshedToken;try {Claims claims = getClaimsFromToken(token);claims.put(CREATED, new Date());refreshedToken = generateToken(claims);} catch (Exception e) {refreshedToken = null;}return refreshedToken;
}
9、令牌是否过期
/**
* 判断令牌是否过期
* @param token 令牌
* @return 是否过期
*/
public static Boolean isTokenExpired(String token) {try {Claims claims = getClaimsFromToken(token);Date expiration = claims.getExpiration();return expiration.before(new Date());} catch (Exception e) {return false;}
}
token系列2—解析(解码)及实际应用相关推荐
- 在线解析解码jwt token工具
在线解析解码jwt token工具 在线解析解码jwt token工具 JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案.本工具提供在线解码的功能 https://toolt ...
- 在线JWT Token解析解码
在线JWT Token解析解码 在线JWT Token解析解码 JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案.本工具提供在线解码的功能 JSON Web Token(缩写 ...
- 在线JWT Token解析解码工具
1:JWT Token在线解析解码 - ToolTT在线工具箱 2: 3:
- JWT Token在线解析解码
文章目录 1. 文章引言 2. 演示解析 3. 在线地址 1. 文章引言 项目使用spring boot + shiro + jwt 作为授权登录,调用登录接口,生成如下token: {"c ...
- golang通过RSA算法生成token,go从配置文件中注入密钥文件,go从文件中读取密钥文件,go RSA算法下token生成与解析;go java token共用
RSA算法 token生成与解析 本文演示两种方式,一种是把密钥文件放在配置文件中,一种是把密钥文件本身放入项目或者容器中. 下面两种的区别在于私钥公钥的初始化, init方法,需要哪种取哪种. 通过 ...
- XML系列之--解析电文格式的XML(二)
上一节介绍了XML的结构以及如何创建.讲到了XML可作为一种简单文本存储数据,把数据存储起来,以XML的方式进行传递.当接收到XML时,必不可少的就是对其进行解析,捞取有效数据,或者将第三方数据以节点 ...
- Token系列 - 加密猫智能合约源码分析
GeneScienceInterface合约 这个合约没有源码,从名字看已经很明显,就是猫的基因工程,用于决定新出生猫的基因. 这里仅仅定义了一个接口,没有具体实现,后续的调用请看后续代码分析 /// ...
- HPLC鬼峰、基线漂移、拖尾、分叉峰、保留时间漂移、柱压过高等系列问题解析
HPLC鬼峰.基线漂移.拖尾.分叉峰.保留时间漂移.柱压过高等系列问题解析 高效液相色谱法按分离机制的不同分为液固吸附色谱法.液液分配色谱法(正相与反相).离子交换色谱法.离子对色谱法及分子排阻色谱法 ...
- Cloudsim 3.0.3中VM调度策略系列类解析(带迁移的策略)
Cloudsim 3.0.3中VM调度策略系列类解析(带迁移的策略) 注:本文为旧文的markdown重制版 Cloudsim中VM调度策略类在DataCenter(或PowerDataCenter) ...
最新文章
- c++十六进制加法_C++中输出十六进制形式的字符串
- LaTeX文档插入图片的几种常用方法
- JQ获取CKeditor的值
- 0到1:闲鱼高复杂度高性能社区圈子开发实录
- js 给动态li添加动态点击事件
- jquery $加一个点后面加个名称的意思
- ubuntu apt-get update 失败解决
- 比较两个文本中数据不同的行
- Android半透明提示效果的实现
- 【matlab 图像处理】图像锐化
- 刽子手游戏 做题笔记
- 用c语言用*组成C字母,C语言字符集由字母,数字,空格,标点符号和特殊字符组成...
- 宣传单印刷价格明细报价的影响因素有哪些?
- 人们为什么会相信伪科学?人类喜欢依赖心理捷径
- TP-LINK TL-WDN6200 USB无线网卡驱动程序安装方法
- sap 修改主机名过程
- 不经一番寒彻骨,那有冰冻三尺,那有不经波折的人生?
- 从零学本体dApp开发(20): 分片合约也有Runtime dAPI
- 使用conga部署RHCS
- Python实现图像全景拼接