java解析.net生成的token(JWT)
有人会问为何有这样的需求?那么下面我来解释下。
需求背景:
项目用的语言主要是asp.net core 3.1。基于业界成熟框架abp,使用JWT生成token。
但是个别功能使用了java。原因是java开源的东西比较多,也比较好用。最主要是我们的这个功能.net没有。
人手有限,前端直接调用java接口更方便。无需前端调用.net接口,然后.net再在接口上调用java的接口。
那么产生一个问题:前端直接调用java接口,传过来的的token在我的springboot项目里面如何校验有效性?
首先想到的是:JWT不分语言,就像一些加密解密算法一样,.net加的密如果.net能解,那么java肯定也可以解。
JWT此处就不介绍了,直奔主题。
.net使用JWT时用到了秘钥,具体如下:
"Authentication": { "JwtBearer": { "IsEnabled": "true", "SecurityKey": "SecurityKey_111", "Issuer": "Issuer_111", "Audience": "Audience_111" } }
所以java在解密时也要使用秘钥,不然直接JWT.decode(token)没啥意义,起不到校验的作用。
需要先引用java中的一个组件:
<!-- https://mvnrepository.com/artifact/com.auth0/java-jwt -->
<dependency>
<groupId>com.auth0</groupId>
<artifactId>java-jwt</artifactId>
<version>3.12.0</version>
</dependency>
具体代码如下:
JWTVerifier verifier = JWT.require(Algorithm.HMAC256("SecurityKey_111")).withIssuer("Issuer_111").withAudience("Audience_111").build();
DecodedJWT jwt = verifier.verify(token);
只要这段代码不报异常就表示解密成功。如果报了异常则说明秘钥不对。
参考文章:
https://blog.csdn.net/qq_37725650/article/details/103975557
https://www.jianshu.com/p/e88d3f8151db