美文网首页
JJWT使用笔记(二)—— JWT token的解析

JJWT使用笔记(二)—— JWT token的解析

作者: vayci | 来源:发表于2018-06-08 11:54 被阅读0次

前言

上文分析了JJWT实现JWT生成的方式,主要是对实现类 DefaultJwtBuilder() 中的方法进行了解读。
本文就再来看JWT解析的实现类 DefaultJwtParser()

解析Token

典型代码示例:

    private static Claims getClaimsFromToken(String token) {
        Claims claims;
        try {
            claims = Jwts.parser()
                    .setSigningKey(secret)
                    .parseClaimsJws(token)
                    .getBody();
        } catch (Exception e) {
            claims = null;
        }
        return claims;
    }

上述代码从JWT Token中获取了载荷。

与Builder类似,Jwts.parser() 返回了DefaultJwtParser 对象

DefaultJwtParser() 属性

    //don't need millis since JWT date fields are only second granularity:
    private static final String ISO_8601_FORMAT = "yyyy-MM-dd'T'HH:mm:ss'Z'";
    private static final int MILLISECONDS_PER_SECOND = 1000;

    private ObjectMapper objectMapper = new ObjectMapper();

    private byte[] keyBytes; //签名key字节数组
    private Key key; //签名key
    private SigningKeyResolver signingKeyResolver; //签名Key解析器
    private CompressionCodecResolver compressionCodecResolver = new DefaultCompressionCodecResolver(); //压缩解析器
    Claims expectedClaims = new DefaultClaims(); //期望Claims
    private Clock clock = DefaultClock.INSTANCE; //时间工具实例
    private long allowedClockSkewMillis = 0;  //允许的时间偏移量

很容易从命名获得各属性的含义

再看方法

  • setSigningKey() 与builder中签名方法signWith()对应,parser中的此方法拥有与signWith()方法相同的三种参数形式,用于设置JWT的签名key,用户后面对JWT进行解析。
  • isSigned() 校验JWT是否进行签名。方法很简单,以分隔符" . ",截取JWT第三段,即签名部分进行判断。

同样,与builder中设置一些标准Claims的set方法对应,parser中包含一系列require方法进行claims校验。

  • requireIssuedAt()
  • requireIssuer()
  • requireAudience()
  • requireSubject()
  • requireId()
  • requireExpiration()
  • requireNotBefore()
    并且还提供了自定义claims字段的校验方法
  • require()

当claims不匹配时,会抛出 IncorrectClaimException 异常。

  • setClock() 设置parser内Clock实例

  • setAllowedClockSkewSeconds() 设置允许的时间偏移(秒)。如果传入负值,将设置为0,即相当于未设置。此方法与builder中的setNotBefore() 相关。当builder中设置了setNotBefore()。那么该Token必须要在这个时间之后才可用。而parser中设置允许的时间偏移,就相当于把这个时间点变成了一个时间范围。
    举个例子,比如生成JWT Token的时候设置了setNotBefore为当前时间的5秒后,那么马上对这个Token进行解析会抛出PrematureJwtException异常,提示该JWT的接收时间还没到。那么如果我在解析的时候设置了允许的时间偏移为5秒或者更长,那么判断这个JWT时就可以接收解析了。另外这个偏移也会影响JWT的过期时间。比如JWT本来已经过期5秒,如果我设置偏移为5秒或者更长,那么仍作为有效的JWT凭据。

  • setSigningKeyResolver() 设置签名key获取器。需实现两个获取签名key的方法。

  • setCompressionCodecResolver() 设置压缩解析器。需实现一个获取解码解码器的方法。

上述两个解析器具体的使用应该会在解析的方法中有所体现。

接下来是重头戏方法:解析

  • parse() 方法传入一个JWT字符串,返回一个JWT对象。

解析过程:

  1. 切分。
    以分隔符" . "切分JWT的三个部分。如果分隔符数量错误或者载荷为空,将抛出 MalformedJwtException 异常。
  2. 头部解析。
    将头部原始Json键值存入map。根据是否加密创建不同的头部对象。jjwt的DefaultCompressionCodecResolver根据头部信息的压缩算法信息,添加不同的压缩解码器。

JJWT automatically detects that compression was used by examining the header and will automatically decompress when parsing. No extra coding is needed on your part for decompression.

  1. 载荷解析。
    先对载荷进行Base64解码,如果有经过压缩,那么在解码后再进行解压缩。此时将值赋予payload。如果载荷是json形式,将json键值读入map,将值赋予claims 。
        if (payload.charAt(0) == '{' && payload.charAt(payload.length() - 1) == '}') { //likely to be json, parse it:
            Map<String, Object> claimsMap = readValue(payload);
            claims = new DefaultClaims(claimsMap);
        }
  1. 签名解析。
    如果存在签名部分,则对签名进行解析。

(1)首先根据头部的签名算法信息,获取对应的算法。
如果签名部分不为空,但是签名算法为null或者'none',将抛出MalformedJwtException异常。

(2)获取签名key

重复异常

  • 如果同时设置了key属性和keyBytes属性,parser不知道该使用哪个值去作为签名key解析,将抛出异常。
  • 如果key属性和keyBytes属性只存在一个,但是设置了signingKeyResolver,也不知道该去解析前者还是使用后者,将抛出异常。

如果设置了key(setSigningKey() 方法)则直接使用生成Key对象。如果两种形式( key和keyBytes )都没有设置,则使用SigningKeyResolver(通过setSigningKeyResolver()方法设置)获取key。

当然,获取key为null会抛出异常。

(3)创建签名校验器
JJWT实现了一个默认的签名校验器DefaultJwtSignatureValidator。该类提供了两个构造方法,外部调用的构造方法传入算法和签名key,再加上一个DefaultSignatureValidatorFactory工厂实例传递调用另一个构造函数,以便工厂根据不同算法创建不同类型的Validator。

    public DefaultJwtSignatureValidator(SignatureAlgorithm alg, Key key) {
        this(DefaultSignatureValidatorFactory.INSTANCE, alg, key);
    }

    public DefaultJwtSignatureValidator(SignatureValidatorFactory factory, SignatureAlgorithm alg, Key key) {
        Assert.notNull(factory, "SignerFactory argument cannot be null.");
        this.signatureValidator = factory.createSignatureValidator(alg, key);
    }

这里和builder类似。

(4)比对验证
根据头部和载荷重新计算签名并比对。
如果不匹配,抛出SignatureException异常。

(5)时间校验
根据当前时间和时间偏移判断是否过期。
根据当前时间和时间偏移判断是够未到可接收时间。

(6)Claims参数校验
即校验parser前面设置的所以require部分。校验完成后,以header,claims或者payload创建DefaultJwt对象返回。

至此,已经完成JWT Token的校验过程。校验通过后返回JWT对象。

  • parse(String compact, JwtHandler<T> handler)方法根据 parse(String jwt) 解析返回的JWT对象类型以及Body是payload还是claims,采用不同的适配器处理。
    解析时也可直接指定适配器。
  • parsePlaintextJwt 载荷为文本(不是Json),未签名
  • parseClaimsJwt 载荷为claims(即Json),未签名
  • parsePlaintextJws 载荷为文本(不是Json),已签名
  • parseClaimsJws 载荷为claims(即Json),已签名

相关文章

网友评论

      本文标题:JJWT使用笔记(二)—— JWT token的解析

      本文链接:https://www.haomeiwen.com/subject/egeosftx.html