以前一直使用的是jjwt这个JWT库&＃xff0c;虽然小巧够用, 但对JWT的一些细节封装的不是很好。最近发现了一个更好用的JWT库nimbus-jose-jwt&＃xff0c;简单易用&＃xff0c;API非常易于理解&＃xff0c;对称加密和非对称加密算法都支持&＃xff0c;推荐给大家&＃xff01;

简介

nimbus-jose-jwt是最受欢迎的JWT开源库&＃xff0c;基于Apache 2.0开源协议&＃xff0c;支持所有标准的签名(JWS)和加密(JWE)算法。

JWT概念关系

这里我们需要了解下JWT、JWS、JWE三者之间的关系&＃xff0c;其实JWT(JSON Web Token)指的是一种规范&＃xff0c;这种规范允许我们使用JWT在两个组织之间传递安全可靠的信息。而JWS(JSON Web Signature)和JWE(JSON Web Encryption)是JWT规范的两种不同实现&＃xff0c;我们平时最常使用的实现就是JWS。

使用

接下来我们将介绍下nimbus-jose-jwt库的使用&＃xff0c;主要使用对称加密(HMAC)和非对称加密(RSA)两种算法来生成和解析JWT令牌。

对称加密(HMAC)

对称加密指的是使用相同的秘钥来进行加密和解密&＃xff0c;如果你的秘钥不想暴露给解密方&＃xff0c;考虑使用非对称加密。

• 要使用nimbus-jose-jwt库&＃xff0c;首先在pom.xml添加相关依赖&＃xff1b;

    com.nimbusds    nimbus-jose-jwt    8.16

• 创建JwtTokenServiceImpl作为JWT处理的业务类&＃xff0c;添加根据HMAC算法生成和解析JWT令牌的方法&＃xff0c;可以发现nimbus-jose-jwt库操作JWT的API非常易于理解&＃xff1b;

/** * Created by macro on 2020/6/22. */&＃64;Servicepublic class JwtTokenServiceImpl implements JwtTokenService {    &＃64;Override    public String generateTokenByHMAC(String payloadStr, String secret) throws JOSEException {        //创建JWS头&＃xff0c;设置签名算法和类型        JWSHeader jwsHeader &＃61; new JWSHeader.Builder(JWSAlgorithm.HS256).                type(JOSEObjectType.JWT)                .build();        //将负载信息封装到Payload中        Payload payload &＃61; new Payload(payloadStr);        //创建JWS对象        JWSObject jwsObject &＃61; new JWSObject(jwsHeader, payload);        //创建HMAC签名器        JWSSigner jwsSigner &＃61; new MACSigner(secret);        //签名        jwsObject.sign(jwsSigner);        return jwsObject.serialize();    }    &＃64;Override    public PayloadDto verifyTokenByHMAC(String token, String secret) throws ParseException, JOSEException {        //从token中解析JWS对象        JWSObject jwsObject &＃61; JWSObject.parse(token);        //创建HMAC验证器        JWSVerifier jwsVerifier &＃61; new MACVerifier(secret);        if (!jwsObject.verify(jwsVerifier)) {            throw new JwtInvalidException("token签名不合法&＃xff01;");        }        String payload &＃61; jwsObject.getPayload().toString();        PayloadDto payloadDto &＃61; JSONUtil.toBean(payload, PayloadDto.class);        if (payloadDto.getExp() 

• 创建PayloadDto实体类&＃xff0c;用于封装JWT中存储的信息&＃xff1b;

/** * Created by macro on 2020/6/22. */&＃64;Data&＃64;EqualsAndHashCode(callSuper &＃61; false)&＃64;Builderpublic class PayloadDto {    &＃64;ApiModelProperty("主题")    private String sub;    &＃64;ApiModelProperty("签发时间")    private Long iat;    &＃64;ApiModelProperty("过期时间")    private Long exp;    &＃64;ApiModelProperty("JWT的ID")    private String jti;    &＃64;ApiModelProperty("用户名称")    private String username;    &＃64;ApiModelProperty("用户拥有的权限")    private List authorities;}

• 在JwtTokenServiceImpl类中添加获取默认的PayloadDto的方法&＃xff0c;JWT过期时间设置为60s&＃xff1b;

/** * Created by macro on 2020/6/22. */&＃64;Servicepublic class JwtTokenServiceImpl implements JwtTokenService {    &＃64;Override    public PayloadDto getDefaultPayloadDto() {        Date now &＃61; new Date();        Date exp &＃61; DateUtil.offsetSecond(now, 60*60);        return PayloadDto.builder()                .sub("macro")                .iat(now.getTime())                .exp(exp.getTime())                .jti(UUID.randomUUID().toString())                .username("macro")                .authorities(CollUtil.toList("ADMIN"))                .build();    }}

• 创建JwtTokenController类&＃xff0c;添加根据HMAC算法生成和解析JWT令牌的接口&＃xff0c;由于HMAC算法需要长度至少为32个字节的密钥&＃xff0c;所以我们使用MD5加密下&＃xff1b;

/** * JWT令牌管理Controller * Created by macro on 2020/6/22. */&＃64;Api(tags &＃61; "JwtTokenController", description &＃61; "JWT令牌管理")&＃64;Controller&＃64;RequestMapping("/token")public class JwtTokenController {    &＃64;Autowired    private JwtTokenService jwtTokenService;    &＃64;ApiOperation("使用对称加密(HMAC)算法生成token")    &＃64;RequestMapping(value &＃61; "/hmac/generate", method &＃61; RequestMethod.GET)    &＃64;ResponseBody    public CommonResult generateTokenByHMAC() {        try {            PayloadDto payloadDto &＃61; jwtTokenService.getDefaultPayloadDto();            String token &＃61; jwtTokenService.generateTokenByHMAC(JSONUtil.toJsonStr(payloadDto), SecureUtil.md5("test"));            return CommonResult.success(token);        } catch (JOSEException e) {            e.printStackTrace();        }        return CommonResult.failed();    }    &＃64;ApiOperation("使用对称加密(HMAC)算法验证token")    &＃64;RequestMapping(value &＃61; "/hmac/verify", method &＃61; RequestMethod.GET)    &＃64;ResponseBody    public CommonResult verifyTokenByHMAC(String token) {        try {            PayloadDto payloadDto  &＃61; jwtTokenService.verifyTokenByHMAC(token, SecureUtil.md5("test"));            return CommonResult.success(payloadDto);        } catch (ParseException | JOSEException e) {            e.printStackTrace();        }        return CommonResult.failed();    }}

• 调用使用HMAC算法生成JWT令牌的接口进行测试&＃xff1b;

• 调用使用HMAC算法解析JWT令牌的接口进行测试。

非对称加密(RSA)

非对称加密指的是使用公钥和私钥来进行加密解密操作。对于加密操作&＃xff0c;公钥负责加密&＃xff0c;私钥负责解密&＃xff0c;对于签名操作&＃xff0c;私钥负责签名&＃xff0c;公钥负责验证。非对称加密在JWT中的使用显然属于签名操作。

• 如果我们需要使用固定的公钥和私钥来进行签名和验证的话&＃xff0c;我们需要生成一个证书文件&＃xff0c;这里将使用Java自带的keytool工具来生成jks证书文件&＃xff0c;该工具在JDK的bin目录下&＃xff1b;

• 打开CMD命令界面&＃xff0c;使用如下命令生成证书文件&＃xff0c;设置别名为jwt&＃xff0c;文件名为jwt.jks&＃xff1b;

keytool -genkey -alias jwt -keyalg RSA -keystore jwt.jks

• 输入密码为123456&＃xff0c;然后输入各种信息之后就可以生成证书jwt.jks文件了&＃xff1b;

• 将证书文件jwt.jks复制到项目的resource目录下&＃xff0c;然后需要从证书文件中读取RSAKey&＃xff0c;这里我们需要在pom.xml中添加一个Spring Security的RSA依赖&＃xff1b;

    org.springframework.security    spring-security-rsa    1.0.7.RELEASE

• 然后在JwtTokenServiceImpl类中添加方法&＃xff0c;从类路径下读取证书文件并转换为RSAKey对象&＃xff1b;

/** * Created by macro on 2020/6/22. */&＃64;Servicepublic class JwtTokenServiceImpl implements JwtTokenService {    &＃64;Override    public RSAKey getDefaultRSAKey() {        //从classpath下获取RSA秘钥对        KeyStoreKeyFactory keyStoreKeyFactory &＃61; new KeyStoreKeyFactory(new ClassPathResource("jwt.jks"), "123456".toCharArray());        KeyPair keyPair &＃61; keyStoreKeyFactory.getKeyPair("jwt", "123456".toCharArray());        //获取RSA公钥        RSAPublicKey publicKey &＃61; (RSAPublicKey) keyPair.getPublic();        //获取RSA私钥        RSAPrivateKey privateKey &＃61; (RSAPrivateKey) keyPair.getPrivate();        return new RSAKey.Builder(publicKey).privateKey(privateKey).build();    }}

• 我们可以在JwtTokenController中添加一个接口&＃xff0c;用于获取证书中的公钥&＃xff1b;

/** * JWT令牌管理Controller * Created by macro on 2020/6/22. */&＃64;Api(tags &＃61; "JwtTokenController", description &＃61; "JWT令牌管理")&＃64;Controller&＃64;RequestMapping("/token")public class JwtTokenController {    &＃64;Autowired    private JwtTokenService jwtTokenService;        &＃64;ApiOperation("获取非对称加密(RSA)算法公钥")    &＃64;RequestMapping(value &＃61; "/rsa/publicKey", method &＃61; RequestMethod.GET)    &＃64;ResponseBody    public Object getRSAPublicKey() {        RSAKey key &＃61; jwtTokenService.getDefaultRSAKey();        return new JWKSet(key).toJSONObject();    }}

• 调用该接口&＃xff0c;查看公钥信息&＃xff0c;公钥是可以公开访问的&＃xff1b;

• 在JwtTokenServiceImpl中添加根据RSA算法生成和解析JWT令牌的方法&＃xff0c;可以发现和上面的HMAC算法操作基本一致&＃xff1b;

/** * Created by macro on 2020/6/22. */&＃64;Servicepublic class JwtTokenServiceImpl implements JwtTokenService {    &＃64;Override    public String generateTokenByRSA(String payloadStr, RSAKey rsaKey) throws JOSEException {        //创建JWS头&＃xff0c;设置签名算法和类型        JWSHeader jwsHeader &＃61; new JWSHeader.Builder(JWSAlgorithm.RS256)                .type(JOSEObjectType.JWT)                .build();        //将负载信息封装到Payload中        Payload payload &＃61; new Payload(payloadStr);        //创建JWS对象        JWSObject jwsObject &＃61; new JWSObject(jwsHeader, payload);        //创建RSA签名器        JWSSigner jwsSigner &＃61; new RSASSASigner(rsaKey, true);        //签名        jwsObject.sign(jwsSigner);        return jwsObject.serialize();    }    &＃64;Override    public PayloadDto verifyTokenByRSA(String token, RSAKey rsaKey) throws ParseException, JOSEException {        //从token中解析JWS对象        JWSObject jwsObject &＃61; JWSObject.parse(token);        RSAKey publicRsaKey &＃61; rsaKey.toPublicJWK();        //使用RSA公钥创建RSA验证器        JWSVerifier jwsVerifier &＃61; new RSASSAVerifier(publicRsaKey);        if (!jwsObject.verify(jwsVerifier)) {            throw new JwtInvalidException("token签名不合法&＃xff01;");        }        String payload &＃61; jwsObject.getPayload().toString();        PayloadDto payloadDto &＃61; JSONUtil.toBean(payload, PayloadDto.class);        if (payloadDto.getExp() 

• 在JwtTokenController类&＃xff0c;添加根据RSA算法生成和解析JWT令牌的接口&＃xff0c;使用默认的RSA钥匙对&＃xff1b;

/** * JWT令牌管理Controller * Created by macro on 2020/6/22. */&＃64;Api(tags &＃61; "JwtTokenController", description &＃61; "JWT令牌管理")&＃64;Controller&＃64;RequestMapping("/token")public class JwtTokenController {    &＃64;Autowired    private JwtTokenService jwtTokenService;    &＃64;ApiOperation("使用非对称加密(RSA)算法生成token")    &＃64;RequestMapping(value &＃61; "/rsa/generate", method &＃61; RequestMethod.GET)    &＃64;ResponseBody    public CommonResult generateTokenByRSA() {        try {            PayloadDto payloadDto &＃61; jwtTokenService.getDefaultPayloadDto();            String token &＃61; jwtTokenService.generateTokenByRSA(JSONUtil.toJsonStr(payloadDto),jwtTokenService.getDefaultRSAKey());            return CommonResult.success(token);        } catch (JOSEException e) {            e.printStackTrace();        }        return CommonResult.failed();    }    &＃64;ApiOperation("使用非对称加密(RSA)算法验证token")    &＃64;RequestMapping(value &＃61; "/rsa/verify", method &＃61; RequestMethod.GET)    &＃64;ResponseBody    public CommonResult verifyTokenByRSA(String token) {        try {            PayloadDto payloadDto  &＃61; jwtTokenService.verifyTokenByRSA(token, jwtTokenService.getDefaultRSAKey());            return CommonResult.success(payloadDto);        } catch (ParseException | JOSEException e) {            e.printStackTrace();        }        return CommonResult.failed();    }}

• 调用使用RSA算法生成JWT令牌的接口进行测试&＃xff1b;

• 调用使用RSA算法解析JWT令牌的接口进行测试。

参考资料

官方文档&＃xff1a;https://connect2id.com/products/nimbus-jose-jwt

作 者&＃xff1a;macrozheng

原文链接&＃xff1a;https://mp.weixin.qq.com/s/Jo3PZoa7nL99c8UCxPiTTA