payload与claims只能存在一个
这部分是jwt源码:
依赖如下:官方文档的依赖
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt-api</artifactId>
<version>0.11.2</version>
</dependency>
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt-impl</artifactId>
<version>0.11.2</version>
</dependency>
<dependency>
<groupId>io.jsonwebtoken </groupId >
<artifactId>jjwt-jackson </artifactId >
<version>0.11.2</version>
</dependency>
2020-11-1217:17:43
@Override public String compact() { if (this.serializer == null) { // try to find one based on the services available // TODO: This util class will throw a UnavailableImplementationException here to retain behavior of previous version, remove in v1.0 // use the previous commented out line instead this.serializer = LegacyServices.loadFirst(Serializer.class); } if (payload == null && Collections.isEmpty(claims)) {//判断空 payload = ""; } if (payload != null && !Collections.isEmpty(claims)) {//判断空 throw new IllegalStateException("Both 'payload' and 'claims' cannot both be specified. Choose either one."); } Header header = ensureHeader(); JwsHeader jwsHeader; if (header instanceof JwsHeader) {//判断header类型 jwsHeader = (JwsHeader) header; } else { //noinspection unchecked jwsHeader = new DefaultJwsHeader(header); } if (key != null) { //判断加密方式 jwsHeader.setAlgorithm(algorithm.getValue()); } else { //no signature - plaintext JWT: jwsHeader.setAlgorithm(SignatureAlgorithm.NONE.getValue()); } if (compressionCodec != null) { jwsHeader.setCompressionAlgorithm(compressionCodec.getAlgorithmName()); } //header进行base64加密 String base64UrlEncodedHeader = base64UrlEncode(jwsHeader, "Unable to serialize header to json."); //绿色部分表示payload转化base64加密成字节数组进行一次压缩 byte[] bytes; try { bytes = this.payload != null ? payload.getBytes(Strings.UTF_8) : toJson(claims); } catch (SerializationException e) { throw new IllegalArgumentException("Unable to serialize claims object to json: " + e.getMessage(), e); } if (compressionCodec != null) { bytes = compressionCodec.compress(bytes); } //对payload压缩后的租界数组再来一次base64加密 String base64UrlEncodedBody = base64UrlEncoder.encode(bytes); //签名拼接 String jwt = base64UrlEncodedHeader + JwtParser.SEPARATOR_CHAR + base64UrlEncodedBody;
// 加密的key再次判断为不为空 if (key != null) { //jwt must be signed: //签名与拼接 JwtSigner signer = createSigner(algorithm, key); String base64UrlSignature = signer.sign(jwt); jwt += JwtParser.SEPARATOR_CHAR + base64UrlSignature; } else { // no signature (plaintext), but must terminate w/ a period, see // https://tools.ietf.org/html/draft-ietf-oauth-json-web-token-25#section-6.1 jwt += JwtParser.SEPARATOR_CHAR; } return jwt; }
个人模拟加密流程:
//0 原始签名
String header0 = "{"alg":"HS256"}";
String claims0 = "{"sub":"wangbiao","aud":"wangbiao"}";
Encoder<byte[], String> base64UrlEncoder = Encoders.BASE64URL;
String hed =base64UrlEncoder.encode(header0.getBytes("UTF-8"));
Map map= (Map) JSON.parse(claims0);
Serializer<Map<String,?>> serializer= LegacyServices.loadFirst(Serializer.class);
byte[] clambyte0= serializer.serialize(map);
/**
* payload为空String方法转化字节数组,不然转化JSON序列化,默认payload为null 即上面的序列化
* bytes = this.payload != null ? payload.getBytes(Strings.UTF_8) : toJson(claims);
* byte [] claimbyte=claims0.getBytes("UTF-8");
*/
/**
* 默认jwt不需要压缩
* DeflateCompressionCodeWb deflateCompressionCodecss=new DeflateCompressionCodeWb();
* claims压缩字节
* byte[] clambyte1 =deflateCompressionCodecss.doCompress(clambyte0);
*/
// KeyPair keyPair = Keys.keyPairFor(SignatureAlgorithm.RS256);
//签名key
SecretKey key = Keys.secretKeyFor(SignatureAlgorithm.HS256);
//字节在编码
String cla= base64UrlEncoder.encode(clambyte0);
String concatenated= hed+'.'+cla;
//签名方式
SignatureAlgorithm algorithm=SignatureAlgorithm.HS256;
JwtSigner defaultJwtBuilder=new DefaultJwtSigner(algorithm,key,base64UrlEncoder);
String base64UrlSignature = defaultJwtBuilder.sign(concatenated);
String sss= concatenated+'.'+base64UrlSignature;
// System.out.println(sss);
//验签
System.out.println(Jwts.parserBuilder().setSigningKey(key).build().parseClaimsJws(sss));
利用jwt封装的方法:
//2设置token方式二 设置头
Header header = new DefaultHeader();
header.put("alg", "HS256");
// //header设置方式1 设置map
Map<String, Object> claims = new HashMap<>();
claims.put("aud", "wangbiao");
claims.put("sub", "wangbiao");
String jwss = Jwts.builder()
.setHeader((Map<String, Object>) header)
.setClaims(claims)
.signWith(key)
.compact();
// System.out.println(jwss);
//验签
System.out.println(Jwts.parserBuilder().setSigningKey(key).build().parseClaimsJws(jwss));
个人jwt生成结果:
eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJ3YW5nYmlhbyIsImF1ZCI6IndhbmdiaWFvIn0.Lxso52KaEnj_a7mYAoH0eoPisIpCo_2sBihmf7sHxGw
jwt封装生成结果:
eyJhbGciOiJIUzI1NiJ9.eyJhdWQiOiJ3YW5nYmlhbyIsInN1YiI6IndhbmdiaWFvIn0.weI8QvS16782iZR6Hb3k3kYExmpSyax0a-KRzfG-vFc
可以看出最后签名不一致
个人jwt验签解析:
header={alg=HS256},body={sub=wangbiao, aud=wangbiao},signature=Lxso52KaEnj_a7mYAoH0eoPisIpCo_2sBihmf7sHxGw
jwt封装眼前解析:
header={alg=HS256},body={aud=wangbiao, sub=wangbiao},signature=weI8QvS16782iZR6Hb3k3kYExmpSyax0a-KRzfG-vFc
思考:通过追踪源码:发现默认情况下payload没有进行压缩
即没有进行如下操作:
if (compressionCodec != null) {
bytes = compressionCodec.compress(bytes);
}
payload为bull进行字符String转化为字节数组,不然转化为转化为tojSON(claims)序列化
bytes = this.payload != null ? payload.getBytes(Strings.UTF_8) : toJson(claims);
header正常进行base64加密
猜想:我此处使用main方法测试,同一个线程下jwt签名具有不可重复,或者jwt默认就是签名不可重复
header={alg=HS256},body={aud=wangbiao, sub=wangbiao},signature=weI8QvS16782iZR6Hb3k3kYExmpSyax0a-KRzfG-vFc
官方文档有如下说明:意思就是如果在一个系统中使用不同的key需要自己重写,密匙解析器,好处就是方便不同的业务使用不同的加密方法,利用适配器的思想解决不同类型的key从而进行验签
:看源码太累,有哪位大神按照如下思路出个方案,共同进步
签名密钥分解器
如果您的应用程序期望使用不同的键签名的JWSs,您就不会调用setSigningKey方法。相反,您需要实现SigningKeyResolver接口,并通过setSigningKeyResolver方法在JwtParserBuilder上指定一个实例。
例如:
SigningKeyResolver signingKeyResolver = getMySigningKeyResolver();
Jwts.parserBuilder ()
.setSigningKeyResolver (signingKeyResolver) / / <—
.build ()
.parseClaimsJws (jwsString);
通过扩展SigningKeyResolverAdapter并实现resolveSigningKey(JwsHeader, Claims)方法,可以简化一些事情。例如:
public class MySigningKeyResolver extends SigningKeyResolverAdapter {
@Override
public Key resolveSigningKey(JwsHeader jwsHeader, Claims claims) {
// implement me
}
}
JwtParser将在解析JWS JSON之后,但在验证JWS签名之前调用resolveSigningKey方法。这允许您检查JwsHeader并声明任何可以帮助您查找用于验证特定jws的键的信息。这对于具有更复杂安全模型的应用程序非常强大,这些应用程序可能在不同的时间使用不同的密钥,或者针对不同的用户或客户。
您可能会检查哪些数据?
JWT规范支持的方法是在创建JWS时在JWS头部设置一个kid (Key ID)字段,例如:
getSigningKey();
getKeyId(signingKey);//任何将密钥与ID关联的机制都可以
jws .builder()
.setHeaderParam (JwsHeader。KEY_ID, keyId) // 1
.signWith (signingKey) / / 2
.compact ();
然后在解析期间,SigningKeyResolver可以检查JwsHeader以获取kid,然后使用该值从某个地方(比如数据库)查找键。例如:
public class MySigningKeyResolver extends SigningKeyResolverAdapter {
@Override
public Key resolveSigningKey(JwsHeader jwsHeader, Claims claims) {
//inspect the header or claims, lookup and return the signing key
String keyId = jwsHeader.getKeyId(); //或任何其他字段,你需要检查
Key key = lookupVerificationKey(keyId); //实现我
return key;
}
}
注意,检查jwsHeader.getKeyId()只是查找键的最常见方法—您可以检查任意数量的头字段或声明,以确定如何查找验证键。这完全取决于JWS是如何创建的。
最后请记住,对于HMAC算法,返回的验证密钥应该是一个秘钥,而对于非对称算法,返回的密钥应该是一个公钥(而不是一个私钥)。