token系列2—解析（解码）及实际应用

解析Token

private static Claims getClaimsFromToken(String token) {Claims claims;try {claims = Jwts.parser().setSigningKey("签名算法的盐值key").parseClaimsJws(token).getBody();} catch (Exception e) {claims = null;}return claims;
}

上述代码从JWT Token中获取了负载。

与Builder类似，Jwts.parser() 返回了DefaultJwtParser 对象

DefaultJwtParser 类源码解析

//don't need millis since JWT date fields are only second granularity:
private static final String ISO_8601_FORMAT = "yyyy-MM-dd'T'HH:mm:ss'Z'";
private static final int MILLISECONDS_PER_SECOND = 1000;private ObjectMapper objectMapper = new ObjectMapper();private byte[] keyBytes; //签名key字节数组
private Key key; //签名key
private SigningKeyResolver signingKeyResolver; //签名Key解析器
private CompressionCodecResolver compressionCodecResolver = new DefaultCompressionCodecResolver(); //压缩解析器
Claims expectedClaims = new DefaultClaims(); //期望Claims
private Clock clock = DefaultClock.INSTANCE; //时间工具实例
private long allowedClockSkewMillis = 0;  //允许的时间偏移量

setSigningKey() 与builder中签名方法signWith()对应，parser中的此方法拥有与signWith()方法相同的三种参数形式，用于设置JWT的签名key，用户后面对JWT进行解析。
isSigned() 校验JWT是否进行签名。方法很简单，以分隔符" . "，截取JWT第三段，即签名部分进行判断。

parse() 方法传入一个JWT字符串，返回一个JWT对象。

解析过程：

1、切分。

以分隔符" . "切分JWT的三个部分。
如果分隔符数量错误或者载荷为空，将抛出 MalformedJwtException 异常。

2、头部解析。

将头部原始Json键值存入map。根据是否加密创建不同的头部对象。jjwt的DefaultCompressionCodecResolver根据头部信息的压缩算法信息，添加不同的压缩解码器。

JJWT automatically detects that compression was used by examining the header and will automatically decompress when parsing. No extra coding is needed on your part for decompression.

3、负载解析。

先对负载进行Base64解码，如果有经过压缩，那么在解码后再进行解压缩。
此时将值赋予payload：如果负载是json形式，将json键值读入map，将值赋予claims 。

if (payload.charAt(0) == '{' && payload.charAt(payload.length() - 1) == '}') { //likely to be json, parse it:Map<String, Object> claimsMap = readValue(payload);claims = new DefaultClaims(claimsMap);}

4、签名解析。

如果存在签名部分，则对签名进行解析。

（1）首先根据头部的签名算法信息，获取对应的算法。

如果签名部分不为空，但是签名算法为null或者’none’，将抛出MalformedJwtException异常。

（2）获取签名key

重复异常

如果同时设置了key属性和keyBytes属性，parser不知道该使用哪个值去作为签名key解析，将抛出异常。
如果key属性和keyBytes属性只存在一个，但是设置了signingKeyResolver，也不知道该去解析前者还是使用后者，将抛出异常。

如果设置了key（setSigningKey() 方法）则直接使用生成Key对象。如果两种形式( key和keyBytes )都没有设置，则使用SigningKeyResolver（通过setSigningKeyResolver()方法设置）获取key。

当然，获取key为null会抛出异常。

（3）创建签名校验器

JJWT实现了一个默认的签名校验器DefaultJwtSignatureValidator。该类提供了两个构造方法，外部调用的构造方法传入算法和签名key，再加上一个DefaultSignatureValidatorFactory工厂实例传递调用另一个构造函数，以便工厂根据不同算法创建不同类型的Validator。

 public DefaultJwtSignatureValidator(SignatureAlgorithm alg, Key key) {this(DefaultSignatureValidatorFactory.INSTANCE, alg, key);}public DefaultJwtSignatureValidator(SignatureValidatorFactory factory, SignatureAlgorithm alg, Key key) {Assert.notNull(factory, "SignerFactory argument cannot be null.");this.signatureValidator = factory.createSignatureValidator(alg, key);}

这里和builder类似。

（4）比对验证

根据头部和载荷重新计算签名并比对。
如果不匹配，抛出SignatureException异常。

（5）时间校验

根据当前时间和时间偏移判断是否过期。
根据当前时间和时间偏移判断是够未到可接收时间。

（6）Claims参数校验

即校验parser前面设置的所以require部分。校验完成后，以header，claims或者payload创建DefaultJwt对象返回。

至此，已经完成JWT Token的校验过程。校验通过后返回JWT对象。

parse(String compact, JwtHandler handler)方法根据 parse(String jwt) 解析返回的JWT对象类型以及Body是payload还是claims，采用不同的适配器处理。
解析时也可直接指定适配器。
parsePlaintextJwt 载荷为文本（不是Json），未签名
parseClaimsJwt 载荷为claims（即Json），未签名
parsePlaintextJws 载荷为文本（不是Json），已签名
parseClaimsJws 载荷为claims（即Json），已签名

实际运用

声明常量属性

 @Autowiredprivate SpSysUserService spSysUserService;private static SpSysUserService sysUserService;//其实就是用户自定义的用户服务，查询数据库中用户信息的@PostConstructpublic void init() {sysUserService = this.spSysUserService;}@Autowiredprivate HttpServletRequest request;private static final long serialVersionUID = 1L;/*** 用户名称*/private static final String USERNAME = Claims.SUBJECT; //Claims类中 public static final String SUBJECT = "sub";private static final String AUDIENCE = "audience";/*** 创建时间*/private static final String CREATED = "created";/*** 权限列表*/private static final String AUTHORITIES = "authorities";/*** 密码*/private static final String USERID = Claims.ID;//Claims类中 public static final String ID = "jti";/*** 签名的时候的盐值key*/private static final String SECRET = "ahdxDict@2021!";/*** 有效期24小时*/private static final long EXPIRE_TIME = 24 * 60 * 60 * 1000;

1、产生token

/*** 封装一个claim对象，其实就是一个map，里面放各种参数*/
public static String generateToken(SpSysUser spSysUser) {Map<String, Object> claims = new HashMap<>(3);claims.put(USERNAME, spSysUser.getUserName());claims.put(CREATED, new Date());claims.put(USERID, spSysUser.getUserId());return generateToken(claims);
}/*** 从claim生成令牌* @param claims 数据声明* @return 令牌*/
private static String generateToken(Map<String, Object> claims) {Date expirationDate = new Date(System.currentTimeMillis() + EXPIRE_TIME);return Jwts.builder().setClaims(claims)//设置负载（Claims和payLoad不能同时设置，只能二选一）.setExpiration(expirationDate)  //.signWith(SignatureAlgorithm.HS512, SECRET).compact();
}

2、获取Token

/*** 获取请求token：从http请求中获取** @param request* @return*/
public static String getToken(HttpServletRequest request) {String token = request.getHeader("authAuthorization");String tokenHead = "Bearer ";if (token == null) {token = request.getHeader("token");} else if (token.contains(tokenHead)) {token = token.substring(tokenHead.length());}if ("".equals(token)) {token = null;}return token;
}

3、获取Claim

/**
* 从令牌中获取数据声明
* @param token 令牌
* @return 数据声明
*/private static Claims getClaimsFromToken(String token) {Claims claims;try {claims = Jwts.parser().setSigningKey(SECRET).parseClaimsJws(token).getBody();} catch (Exception e) {claims = null;}return claims;}

4、获取用户

/**
* 从token获取用户
*
* @return 用户名
*/
public static SpSysUser getUserFromToken() {HttpServletRequest request = ((ServletRequestAttributes) RequestContextHolder.getRequestAttributes()).getRequest();// 获取请求携带的令牌String token = JwtTokenUtils.getToken(request);SpSysUser spSysUser = null;String userId = null;if (token != null) {log.debug("=======获取token成功，开始解析token:" + token);Claims claims = getClaimsFromToken(token);if (claims == null) {log.debug("=======token解析claims失败======,token:" + token);throw new RuntimeException("token已过期或验证不正确！");}userId = claims.getId();if (userId == null) {log.debug("=======claims解析后的userId不存在，token解析失败========");throw new RuntimeException("token解析失败！");}log.debug("=======token解析完毕，验证用户是否存在！=========");QueryWrapper queryWrapper = new QueryWrapper();queryWrapper.eq("user_id", userId);spSysUser = sysUserService.getOne(queryWrapper, true);}return spSysUser;
}

5、获取用户id

public static String getUserIdFromToken() {HttpServletRequest request = ((ServletRequestAttributes) RequestContextHolder.getRequestAttributes()).getRequest();// 获取请求携带的令牌String token = JwtTokenUtils.getToken(request);String userId = null;if (token != null) {log.debug("=======获取token成功，开始解析token:" + token);Claims claims = getClaimsFromToken(token);if (claims == null) {log.debug("=======token解析claims失败======,token:" + token);throw new RuntimeException("token已过期或验证不正确！");}userId = claims.getId();}return userId;
}

6、获取用户名

/*** 从令牌中获取用户名** @param token 令牌* @return 用户名*/public static String getUsernameFromToken(String token) {String username;try {Claims claims = getClaimsFromToken(token);username = claims.getSubject();} catch (Exception e) {username = null;}return username;}

7、验证token

/**
* 验证令牌
* @param token
* @param username
* @return
*/
public static Boolean validateToken(String token, String username) {String userName = getUsernameFromToken(token);return (userName.equals(username) && !isTokenExpired(token));
}

8、刷新令牌

/*** 刷新令牌* @param token* @return*/
public static String refreshToken(String token) {String refreshedToken;try {Claims claims = getClaimsFromToken(token);claims.put(CREATED, new Date());refreshedToken = generateToken(claims);} catch (Exception e) {refreshedToken = null;}return refreshedToken;
}

9、令牌是否过期

/**
* 判断令牌是否过期
* @param token 令牌
* @return 是否过期
*/
public static Boolean isTokenExpired(String token) {try {Claims claims = getClaimsFromToken(token);Date expiration = claims.getExpiration();return expiration.before(new Date());} catch (Exception e) {return false;}
}