java - 如何在 Nimbus JOSE + JWT 中验证 token 签名

标签 java oauth jwt

我使用 Nimbus JOSE + JWT 对每个资源请求在服务器和客户端之间来回传递 token

创建 JWT token 的代码:

public class TokenProvider {

    String token = "";

    public String getToken(String email) {
        try {
            KeyPairGenerator keyGenerator = KeyPairGenerator.getInstance("RSA");
            keyGenerator.initialize(1024);

            KeyPair kp = keyGenerator.genKeyPair();
            RSAPublicKey publicKey = (RSAPublicKey) kp.getPublic();
            RSAPrivateKey privateKey = (RSAPrivateKey) kp.getPrivate();

            System.out.println("publicKey: " + publicKey);
            System.out.println("privateKey: " + privateKey.toString());

            JWSSigner signer = new RSASSASigner(privateKey);

            JWTClaimsSet claimsSet = new JWTClaimsSet();
            claimsSet.setSubject("RTH");
            claimsSet.setCustomClaim("email", email);
            claimsSet.setCustomClaim("role", "USER");
            claimsSet.setIssuer("https://rth.com");
            claimsSet.setExpirationTime(new Date(new Date().getTime() + 60 * 1000));

            SignedJWT signedJWT = new SignedJWT(new JWSHeader(JWSAlgorithm.RS256), claimsSet);

            signedJWT.sign(signer);
            token = signedJWT.serialize();
            TokenSaverAndValidatorDAO tokenSaver = new TokenSaverAndValidatorDAO();
            tokenSaver.saveTokenToDB(email, token);

            signedJWT = SignedJWT.parse(token);

            JWSVerifier verifier = new RSASSAVerifier(publicKey);
            System.out.println("verifier: " + verifier);
            System.out.println("verify method: " + signedJWT.verify(verifier));
            assertTrue(signedJWT.verify(verifier));
            assertEquals("RTH", signedJWT.getJWTClaimsSet().getSubject());
            assertEquals("https://rth.com", signedJWT.getJWTClaimsSet().getIssuer());
            assertTrue(new Date().before(signedJWT.getJWTClaimsSet().getExpirationTime()));
        } catch (JOSEException | ParseException | NoSuchAlgorithmException ex) {
            Logger.getLogger(TokenProvider.class.getName()).log(Level.SEVERE, null, ex);
        }
        return token;
    }
}

到目前为止它工作正常,但问题是我如何验证从客户端收到的 token 签名?

来自API ,只有一种方法看起来像是用于验证,但它只接受公钥 (RSAPublicKey) 作为参数而不是 token 。

任何使用此库从事 JWT 工作的人请帮忙。谢谢

最佳答案

sample code执行此操作,但您已准备好在您的问题中执行此操作的所有代码。

对于共享 key :

JWSVerifier verifier = new MACVerifier(sharedKey.getBytes());

如果您使用的是 RSA key 对(如您的示例所示),则只需提供公钥:

JWSVerifier verifier = new RSASSAVerifier((RSAPublicKey) publicKey);

然后要求它验证签名,注意如果签名无效会抛出异常:

boolean verifiedSignature = false;

    try {
      JWSVerifier verifier = new RSASSAVerifier((RSAPublicKey) publicKey);
      verifiedSignature = signedJWT.verify(verifier);
    }
    catch (JOSEException e) {
      System.err.println("Couldn't verify signature: " + e.getMessage());
    }

检查 token 签名的完整方法可能如下所示:

public static boolean isSignatureValid(String token) {
    // Parse the JWS and verify its RSA signature
    SignedJWT signedJWT;
    try {
        signedJWT = SignedJWT.parse(token);
        JWSVerifier verifier = new RSASSAVerifier((RSAPublicKey) publicKey);
        return signedJWT.verify(verifier);
    } catch (ParseException | JOSEException e) {
        return false;
    }
}

关于java - 如何在 Nimbus JOSE + JWT 中验证 token 签名,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/35668971/

上一篇:java - 线程干扰实际上是如何发生在 `Counter` 示例类中的?

下一篇:java - 如何组合 Box2d 物体?

相关文章:

api - Passport js 为登录返回 "Missing Credentials"错误

azure - 为什么 IdToken 是 OIDC 中的 JWT?

java - 在 Java 中获取硬链接(hard link)计数

如何使用 OAuth 使用 Facebook 帐户登录 Google App Engine 的 Java 示例

java - 将 blob 从数据库迁移到 jackrabbit 中的文件系统

node.js - Passport.js 和 Facebook Graph API

ruby-on-rails - 为什么使用分析 url 而不是 youtube url 时 Google OAuth2 身份验证失败?

javascript - 创建没有签名的 JWT token ?

java - -XX :MaxPermSize with or without -XX:PermSize

java - TokenBuffer jackson Json

©2024 IT工具网  联系我们