Aperçu

Notez l'introduction de JWT à l'aide de la bibliothèque Java.

Qu'est-ce que JWT

L'abréviation de Web Token est «URL Safe Token, y compris JSON qui peut être signé». --JWT se compose de l'en-tête, de la charge utile et de la signature, et l'en-tête et la charge utile sont des informations encodées en Base64 de Json, il semble donc préférable de ne pas inclure d'informations utilisateur, de mots de passe et d'autres éléments que vous ne souhaitez pas divulguer à l'extérieur.
Comme il est signé, vous pouvez le vérifier au moment de la vérification même si vous altérez la partie Json.

Exemple de jeton

―― L'ensemble du jeton ressemble à ceci

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJhdXRoMCJ9.izVguZPRsBQ5Rqw6dhMvcIwy8_9lQnrO3vpxGwPCuzs

Partie de tête

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

--Lorsque vous décodez l'en-tête

{"typ":"JWT","alg":"HS256"}

Partie payante

eyJpc3MiOiJhdXRoMCJ9

--Lorsque vous décodez Payload

{"iss":"auth0"}

Je l'ai en fait écrit en Java

--Environnement - java8 --java-jwt (bibliothèque java qui gère jwt qui est également publiée sur jwt.io)

Cette fois, j'ai fait un JWT avec l'émetteur et l'heure d'expiration et j'ai confirmé l'opération.
L'algorithme utilise HS256
Génération de jetons

try {
    Date expireTime = new Date();
    expireTime.setTime(expireTime.getTime() + 600000l);

    Algorithm algorithm = Algorithm.HMAC256("secret");
    String token = JWT.create()
            .withIssuer("auth0")
            .withExpiresAt(expireTime)
            .sign(algorithm);
} catch (JWTCreationException exception){
    //Invalid Signing configuration / Couldn't convert Claims.
}

Vérification des jetons

String token = "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJhdXRoMCJ9.izVguZPRsBQ5Rqw6dhMvcIwy8_9lQnrO3vpxGwPCuzs";
try {
    Algorithm algorithm = Algorithm.HMAC256("secret");
    JWTVerifier verifier = JWT.require(algorithm)
            .withIssuer("auth0")
            .build(); //Reusable verifier instance
    DecodedJWT jwt = verifier.verify(token);
} catch (JWTVerificationException exception){
    //Invalid signature/claims
}

Se sentir utilisé

Il était facile de vérifier l'opération en empruntant le code écrit sur la page officielle de java-jwt. --Lorsque la partie Json (partie en-tête et charge utile) est correctement falsifiée, JWTVerificationException est levée et vérifiée.

Recommended Posts

J'ai essayé d'utiliser JWT en Java

J'ai essayé d'utiliser l'API Elasticsearch en Java

J'ai essayé d'utiliser Java REPL

J'ai essayé la métaprogrammation avec Java

J'ai essayé d'utiliser l'API Java8 Stream

J'ai essayé d'utiliser l'instruction Extended for en Java

J'ai essayé d'utiliser le mémo Java LocalDate

J'ai essayé d'utiliser Google HttpClient de Java

J'ai essayé d'utiliser Dapr en Java pour faciliter le développement de microservices

J'ai essayé le nouveau yuan à Java

J'ai essayé d'utiliser OpenCV avec Java + Tomcat