Thư viện JWT (JSON Web Token) cho Java [đã đóng]

Tôi đang làm việc trên một ứng dụng web được phát triển bằng Java và AngularJS và đã chọn triển khai xác thực và ủy quyền mã thông báo. Với mục đích tập luyện, tôi đã đến lúc tôi gửi thông tin đăng nhập đến máy chủ, tạo một kho lưu trữ mã thông báo ngẫu nhiên và gửi lại cho máy khách. Theo mọi yêu cầu tới máy chủ, tôi sẽ đính kèm mã thông báo trong tiêu đề và nó hoạt động hoàn hảo. Đối với quan điểm xác thực là hoàn hảo và sẽ không cần nhiều hơn nữa.

Tuy nhiên, bây giờ tôi muốn theo dõi loại người dùng (quản trị viên, người dùng thông thường ...), cũng như id của nó hoặc bất kỳ trường duy nhất nào khác; như tôi đã hiểu, tôi phải mã hóa mã đó trong mã thông báo mà tôi đang gửi lại cho khách hàng trong quá trình đăng nhập. Đúng không?

Có thư viện JWT nào mà bạn đã sử dụng và có thể tạo, mã hóa và giải mã các mã thông báo như vậy không? Một liên kết đến API của thư viện và sự phụ thuộc của Maven sẽ được đánh giá cao hơn nhiều.

Cảm ơn

JJWT nhằm trở thành thư viện JWT dễ sử dụng và dễ hiểu nhất cho JVM và Android:

https://github.com/jwtk/jjwt

Nếu ai cần câu trả lời,

Tôi đã sử dụng thư viện này: http://connect2id.com/products/nimbus-jose-jwt Maven tại đây: http://mvnrepository.com/artifact/com.nimbusds/nimbus-jose-jwt/2.10.1

Bằng cách tham khảo https://jwt.io/, bạn có thể tìm thấy các jwttriển khai bằng nhiều ngôn ngữ bao gồm java. Ngoài ra trang web cung cấp một số so sánh giữa các triển khai này (các thuật toán mà chúng hỗ trợ và ....).

Đối với javanhững thư viện này được đề cập:

• https://github.com/jwtk/jjwt
• https://github.com/auth0/java-jwt (Hướng dẫn tại https://auth0.com/docs/server-apis/java )
• https://bitbucket.org/b_c/jose4j
• https://bitbucket.org/connect2id/nimbus-jose-jwt

Thư viện này có vẻ hoạt động tốt: https://code.google.com/p/jsontoken/ .

Nó phụ thuộc vào Google Guava. Dưới đây là các hiện vật của Maven:

<dependency>
    <groupId>com.googlecode.jsontoken</groupId>
    <artifactId>jsontoken</artifactId>
    <version>1.0</version>
</dependency>
<dependency>
    <groupId>com.google.guava</groupId>
    <artifactId>guava</artifactId>
    <version>18.0</version>
</dependency>

Thư viện trên thực tế được sử dụng bởi Google Wallet.

Đây là cách tạo một jwt và để xác minh nó và giải mã hóa nó:

import java.security.InvalidKeyException;
import java.security.SignatureException;
import java.util.Calendar;
import java.util.List;

import net.oauth.jsontoken.JsonToken;
import net.oauth.jsontoken.JsonTokenParser;
import net.oauth.jsontoken.crypto.HmacSHA256Signer;
import net.oauth.jsontoken.crypto.HmacSHA256Verifier;
import net.oauth.jsontoken.crypto.SignatureAlgorithm;
import net.oauth.jsontoken.crypto.Verifier;
import net.oauth.jsontoken.discovery.VerifierProvider;
import net.oauth.jsontoken.discovery.VerifierProviders;

import org.apache.commons.lang3.StringUtils;
import org.bson.types.ObjectId;
import org.joda.time.DateTime;

import com.google.common.collect.Lists;
import com.google.gson.JsonObject;


/**
 * Provides static methods for creating and verifying access tokens and such. 
 * @author davidm
 *
 */
public class AuthHelper {

    private static final String AUDIENCE = "NotReallyImportant";

    private static final String ISSUER = "YourCompanyOrAppNameHere";

    private static final String SIGNING_KEY = "LongAndHardToGuessValueWithSpecialCharacters@^($%*$%";

    /**
     * Creates a json web token which is a digitally signed token that contains a payload (e.g. userId to identify 
     * the user). The signing key is secret. That ensures that the token is authentic and has not been modified.
     * Using a jwt eliminates the need to store authentication session information in a database.
     * @param userId
     * @param durationDays
     * @return
     */
    public static String createJsonWebToken(String userId, Long durationDays)    {
        //Current time and signing algorithm
        Calendar cal = Calendar.getInstance();
        HmacSHA256Signer signer;
        try {
            signer = new HmacSHA256Signer(ISSUER, null, SIGNING_KEY.getBytes());
        } catch (InvalidKeyException e) {
            throw new RuntimeException(e);
        }

        //Configure JSON token
        JsonToken token = new net.oauth.jsontoken.JsonToken(signer);
        token.setAudience(AUDIENCE);
        token.setIssuedAt(new org.joda.time.Instant(cal.getTimeInMillis()));
        token.setExpiration(new org.joda.time.Instant(cal.getTimeInMillis() + 1000L * 60L * 60L * 24L * durationDays));

        //Configure request object, which provides information of the item
        JsonObject request = new JsonObject();
        request.addProperty("userId", userId);

        JsonObject payload = token.getPayloadAsJsonObject();
        payload.add("info", request);

        try {
            return token.serializeAndSign();
        } catch (SignatureException e) {
            throw new RuntimeException(e);
        }
    }

    /**
     * Verifies a json web token's validity and extracts the user id and other information from it. 
     * @param token
     * @return
     * @throws SignatureException
     * @throws InvalidKeyException
     */
    public static TokenInfo verifyToken(String token)  
    {
        try {
            final Verifier hmacVerifier = new HmacSHA256Verifier(SIGNING_KEY.getBytes());

            VerifierProvider hmacLocator = new VerifierProvider() {

                @Override
                public List<Verifier> findVerifier(String id, String key){
                    return Lists.newArrayList(hmacVerifier);
                }
            };
            VerifierProviders locators = new VerifierProviders();
            locators.setVerifierProvider(SignatureAlgorithm.HS256, hmacLocator);
            net.oauth.jsontoken.Checker checker = new net.oauth.jsontoken.Checker(){

                @Override
                public void check(JsonObject payload) throws SignatureException {
                    // don't throw - allow anything
                }

            };
            //Ignore Audience does not mean that the Signature is ignored
            JsonTokenParser parser = new JsonTokenParser(locators,
                    checker);
            JsonToken jt;
            try {
                jt = parser.verifyAndDeserialize(token);
            } catch (SignatureException e) {
                throw new RuntimeException(e);
            }
            JsonObject payload = jt.getPayloadAsJsonObject();
            TokenInfo t = new TokenInfo();
            String issuer = payload.getAsJsonPrimitive("iss").getAsString();
            String userIdString =  payload.getAsJsonObject("info").getAsJsonPrimitive("userId").getAsString();
            if (issuer.equals(ISSUER) && !StringUtils.isBlank(userIdString))
            {
                t.setUserId(new ObjectId(userIdString));
                t.setIssued(new DateTime(payload.getAsJsonPrimitive("iat").getAsLong()));
                t.setExpires(new DateTime(payload.getAsJsonPrimitive("exp").getAsLong()));
                return t;
            }
            else
            {
                return null;
            }
        } catch (InvalidKeyException e1) {
            throw new RuntimeException(e1);
        }
    }


}

public class TokenInfo {
    private ObjectId userId;
    private DateTime issued;
    private DateTime expires;
    public ObjectId getUserId() {
        return userId;
    }
    public void setUserId(ObjectId userId) {
        this.userId = userId;
    }
    public DateTime getIssued() {
        return issued;
    }
    public void setIssued(DateTime issued) {
        this.issued = issued;
    }
    public DateTime getExpires() {
        return expires;
    }
    public void setExpires(DateTime expires) {
        this.expires = expires;
    }
}

Điều này dựa trên mã tại đây: https://developers.google.com/wallet/instant-buy/about-jwts Và tại đây: https://code.google.com/p/wallet-online-sample-java/source /browse/src/com/google/wallet/online/jwt/util/WalletOnlineService.java?r=08b3333bd7260b20846d7d96d3cf15be8a128dfa

IETF đã đề xuất jose libs trên wiki của nó: http://trac.tools.ietf.org/wg/jose/trac/wiki

Tôi thực sự khuyên bạn nên sử dụng chúng để ký. Tôi không phải là một chàng trai Java, nhưng có vẻ như jose4j có vẻ là một lựa chọn tốt. Có các ví dụ hay: https://bitbucket.org/b_c/jose4j/wiki/JWS%20Examples

Cập nhật: jwt.io cung cấp một so sánh ngắn gọn về một số thư viện liên quan đến jwt và các tính năng của chúng. A phải kiểm tra!

Tôi rất muốn nghe về những gì các nhà phát triển java khác thích.

Tôi thấy điều này là nhỏ và đầy đủ https://github.com/auth0/java-jwt

Trang này lưu trữ các tham chiếu đến việc triển khai bằng nhiều ngôn ngữ khác nhau, bao gồm Java và so sánh các tính năng: http://kjur.github.io/jsjws/index_mat.html

Nếu bạn chỉ cần phân tích cú pháp mã thông báo chưa được mã hóa chưa ký, bạn có thể sử dụng mã này:

boolean parseJWT_2() {
    String authToken = getToken();
    String[] segments = authToken.split("\\.");
    String base64String = segments[1];
    int requiredLength = (int)(4 * Math.ceil(base64String.length() / 4.0));
    int nbrPaddings = requiredLength - base64String.length();

    if (nbrPaddings > 0) {
        base64String = base64String + "====".substring(0, nbrPaddings);
    }

    base64String = base64String.replace("-", "+");
    base64String = base64String.replace("_", "/");

    try {
        byte[] data = Base64.decode(base64String, Base64.DEFAULT);

        String text;
        text = new String(data, "UTF-8");
        tokenInfo = new Gson().fromJson(text, TokenInfo.class);
    } catch (Exception e) {
        e.printStackTrace();
        return false;
    }

    return true;
}

https://github.com/networknt/jsontoken

Đây là một nhánh của google jsontoken gốc

Nó đã không được cập nhật kể từ ngày 11 tháng 9 năm 2012 và phụ thuộc vào một số gói cũ.

Những gì tôi đã làm xong:

Convert from Joda time to Java 8 time. So it requires Java 8.
Covert Json parser from Gson to Jackson as I don't want to include two Json parsers to my projects.
Remove google collections from dependency list as it is stopped long time ago.
Fix thread safe issue with Java Mac.doFinal call.

Tất cả các bài kiểm tra đơn vị hiện có đã vượt qua cùng với một số trường hợp kiểm thử mới được thêm vào.

Đây là một mẫu để tạo mã thông báo và xác minh mã thông báo. Để biết thêm thông tin, vui lòng kiểm tra mã nguồn https://github.com/networknt/light để sử dụng.

Tôi là tác giả của cả Khung ứng dụng jsontoken và Omni-Channel.