java - 使用 jwt token 身份验证识别用户-6ren

java - 使用 jwt token 身份验证识别用户

转载作者：行者123 更新时间：2023-12-01 21:54:39

25

4

我使用 jersey Rest Web 服务以及带有 RSA 签名 token 功能的 JWT 进行身份验证。我能够成功创建 token 并将其发送到前端。现在，在我实现了这一点之后，我对验证 token 以及识别发出资源请求的用户感到困惑。

这里有几个问题:

我是否必须解码前端收到的 jwt token 才能检查 claim ？
如何识别在后端请求资源的用户？

因为在 SO 上的一些帖子中，有些人说不需要在前端解码 token ( check this link )，而其他网站上的其他示例显示了在前端解码 token 的示例，例如 this

现在我很困惑如何进一步确定是否应该在前端解码 token 还是保持原样？如果是这样，为什么其他示例会在前端显示解码，例如 this :

angular.module('app')
   .factory('Auth', ['$http', '$localStorage', 'urls', function ($http, $localStorage, urls) {
       function urlBase64Decode(str) {
           var output = str.replace('-', '+').replace('_', '/');
           switch (output.length % 4) {
               case 0:
                   break;
               case 2:
                   output += '==';
                   break;
               case 3:
                   output += '=';
                   break;
               default:
                   throw 'Illegal base64url string!';
           }
           return window.atob(output);
       }

       function getClaimsFromToken() {
           var token = $localStorage.token;
           var user = {};
           if (typeof token !== 'undefined') {
               var encoded = token.split('.')[1];
               user = JSON.parse(urlBase64Decode(encoded));
           }
           return user;
       }

我在这里使用的 token 示例:

private void authenticate(String email, String password)
    throws Exception {
try {
    Connection con = DBConnection.getConnection();
    PreparedStatement statement = con.prepareStatement("select USR_PRIMARY_EMAIL, USR_PASSWORD from TBL_USER where USR_PRIMARY_EMAIL=? and USR_PASSWORD=?");
    statement.setString(1, email);
    statement.setString(2, password);
    ResultSet result = statement.executeQuery();
    if (result.next()) {
        System.out.println("User authenticated successfully");

        KeyPairGenerator keyGenerator = KeyPairGenerator.getInstance("RSA");
        keyGenerator.initialize(1024);

        KeyPair kp = keyGenerator.genKeyPair();
        RSAPublicKey publicKey = (RSAPublicKey) kp.getPublic();
        RSAPrivateKey privateKey = (RSAPrivateKey) kp.getPrivate();
        JWSSigner signer = new RSASSASigner(privateKey);

        JWTClaimsSet claimsSet = new JWTClaimsSet();
        claimsSet.setSubject("alice");
        claimsSet.setIssuer("https://c2id.com");
        claimsSet.setExpirationTime(new Date(new Date().getTime() + 60 * 1000));

        System.out.println("publicKey is: " + publicKey);
        System.out.println("privateKey is: " + privateKey);
        System.out.println("claimsSet is: " + claimsSet);

        SignedJWT signedJWT = new SignedJWT(new JWSHeader(JWSAlgorithm.RS256),claimsSet);

        signedJWT.sign(signer);
        token = signedJWT.serialize();
        System.out.println("Token is: " + token);

        signedJWT = SignedJWT.parse(token);

        System.out.println("signedJWT is: " + signedJWT);

        JWSVerifier verifier = new RSASSAVerifier(publicKey);
        assertTrue(signedJWT.verify(verifier));
        assertEquals("alice", signedJWT.getJWTClaimsSet().getSubject());
        assertEquals("https://c2id.com", signedJWT.getJWTClaimsSet().getIssuer());
        assertTrue(new Date().before(signedJWT.getJWTClaimsSet().getExpirationTime()));
    } else {
        System.out.println("User doesn't exist");
    }
} catch (Exception e) {
    System.out.println("DB related Error");
    e.printStackTrace();
}
}

还有一个问题是使用 nimbus+jose_JWT(RSA 签名) 生成的 token 我无法以 Angular 解码 auth0图书馆。是因为我使用的是公钥吗？

最佳答案

Do I have to decode the jwt token received on front-end to check the claims?

是的。 JWT 声明集是 base64URL 编码的 JSON，因此您需要解码才能读取它。

<小时/>

How do I identify a user requesting for a resource on backend?

sub 声明是可选的，但实际上每个 JWT 提供商都会颁发带有标识请求者的主题 ID 的所有 token 。来自 JWT 规范:

The "sub" (subject) claim identifies the principal that is the subject of the JWT. The claims in a JWT are normally statements about the subject. The subject value MUST either be scoped to be locally unique in the context of the issuer or be globally unique. The processing of this claim is generally application specific. The "sub" value is a case-sensitive string containing a StringOrURI value. Use of this claim is OPTIONAL.

<小时/>

Also one more issue is the token generated using nimbus+jose_JWT(RSA signature) I am not able to decode in angular auth0 library. Is it because I am using public key?

没有。所有 JWT 声明集都是独立于签名方法的 base64URL 编码的 JSON，因此您应该能够对其进行解码。

关于java - 使用 jwt token 身份验证识别用户，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/34559628/

25

4

0

文章推荐： java - java中字符串是如何传入方法的(就内存而言)

文章推荐： awk 前置和附加文件行

文章推荐： java - JIT 能够优化内存分配吗？

uml - guest 、用户、版主、管理员 - vs - 用户(角色 : guest, 用户、版主、管理员)
在为 Web 应用程序用例图建模时，为用户可以拥有的每个角色创建一个角色是否更好？或拥有一个角色、用户和一个具有特权的矩阵？ guest < 用户 < 版主 < 管理员 1: guest 、用户、版主
postgresql - Postgres 不允许更改角色 super 用户，我的默认用户不是 super 用户
我无法使用 Elixir 连接到 Postgres: ** (Mix) The database for PhoenixChat.Repo couldn't be created: FATAL 28P
Java Lambda 流列表<用户> 到映射<角色，列表<用户>>
这个问题已经有答案了: Group by field name in Java (7 个回答) 已关闭 7 年前。我必须编写一个需要 List 的方法并返回 Map> . User包含 Person
PHP，SQL - 获取表 id = 用户 id 的数据并计算行 = 用户 id 的其他表
感谢您的帮助，首先我将显示代码: $dotaz = "Select * from customers JOIN contracts where customers.user_id ='".$_SESS
android - 从 firebase 获取所有 child (用户)但向一个 child (用户)显示按钮？
我只想向所有用户中的一个用户显示一个按钮。我尝试了 orderByKey() 但没有成功! 用户模型有 id 成员，我尝试使用 orderByChild("id") 但结果相同! 我什至尝试了以下技巧
database - 让 PostgreSQL BDR 在没有 super 用户(postgres 用户)权限的情况下工作？
我们在工作中从 MongoDB 切换到 Postgres，我正在建立一个 BDR 组。在这一步，我正在考虑安全性并尽可能锁定。因此，我希望设置一个 replication 用户(角色)并让 BDR
"this.users = users;" not binding to "users;" property(“this.users=用户；”不绑定到“用户；”属性)
export class UserListComponent implements OnInit{ users; constructor(private userService: UserS
symfony - 更改密码在 FOS 用户 bundle + Sonata 用户 bundle +sonata 管理员 bundle 中不起作用
我可以使用 Sonata User Bundle 将 FOS 包集成到 sonata Admin 包中。我的登录功能正常。现在我想添加 FOSUserBundle 中的更改密码等功能到 sonata
oauth - 创建应用程序时，我从 LinkedId 获得的 OAuth 用户 token 和 OAuth 用户 key 的目的是什么
在 LinkedIn 中创建新应用程序时，我得到 4 个单独的代码: API key 秘钥 OAuth 用户 token OAuth 用户密码我在 OAuth 流程中使用前两个。的目的是什么？最后
c# - 用户 '' 登录失败，无法打开登录请求的数据库 "Database1.mdf"。登录失败。用户 'rBcollo-PC\rBcollo' 登录失败
所以..我几乎解决了所有问题。但现在我要处理另一个问题。我使用了这个连接字符串: SqlConnection con = new SqlConnection(@"Data Source=.\SQLEX
javascript - 通过 ids 匹配 2 个数组(用户 [用户 id 作为键] 到订单 [订单 ids 数组的值])
我有一组“用户”和一组“订单”。我想列出每个 user_id 的所有 order_id。 var users = { 0: { user_id: 111, us
django - “用户”对象没有属性is_authenticated
我已经为我的Django应用创建了一个用户模型 class User(Model): """ The Authentication model. This contains the u
laravel - 未定义密码重置器 [用户]
我被这个问题困住了，找不到解决方案。寻找一些方向。我正在用 laravel 开发一个新的项目，目前正致力于用户认证。我正在使用 Laravels 5.8 身份验证模块。对密码恢复 View 做了一些
ansible 用户配置中的当前用户
安装后我正在使用ansible配置几台计算机。为此，我在机器上本地运行 ansible。安装中的“主要”用户通常具有不同的名称。我想将该用户用于诸如 become_user 之类的变量. “主要”用
Django从批处理文件创建 super 用户
我正在尝试制作一个运行 syncdb 的批处理文件来创建一个数据库文件，然后使用用户名“admin”和密码“admin”创建一个 super 用户。到目前为止我的代码: python manage.
Vim 用户，你们的右手放在哪里？
关闭。这个问题是opinion-based 。目前不接受答案。想要改进这个问题吗？更新问题，以便 editing this post 可以用事实和引文来回答它。 . 已关闭 6 年前。 Improv
Azure 故障转移数据库不复制登录名/用户
我已在 Azure 数据库服务器上设置异地复制。服务器上运行的数据库之一具有我通过 SSMS 创建的登录名和用户: https://learn.microsoft.com/en-us/azure/s
Ionic2 NativeStorage无法获取项目(用户)
我有一个 ionic 2 应用程序，正在使用 native FB Login 来检索名称/图片并将其保存到 NativeStorage。流程是我打开WelcomePage、登录并保存数据。从那里，na
Django - 用户 is_active
这是我的用户身份验证方法: def user_login(request): if request.method == 'POST': username = request.P
python - “用户”对象不可迭代
我试图获取来自特定用户的所有推文，但是当我迭代在模板中抛出推文时，我得到“User”对象不可迭代观看次数 tweets = User.objects.get(username__iexact='us

首页

博学

6Ren·AI

商城

java - 使用 jwt token 身份验证识别用户