记录通过JWT+RSA实现授权功能

RSA

RSA加密算法是一种非对称加密算法。在公开密钥加密和电子商业中RSA被广泛使用。RSA是1977年由罗纳德·李维斯特(Ron Rivest)、阿迪·萨莫尔(Adi Shamir)和伦纳德·阿德曼(Leonard Adleman)一起提出的。当时他们三人都在麻省理工学院工作。RSA就是他们三人姓氏开头字母拼在一起组成的。

此时我们可以通过在项目中定义一个工具类来完成相关RSA加解密的操作,主要的核心方法展示如下

// 生成RSA公私钥
// <其中salt为自定义字符串,相对而言越复杂越好>
public static Map<String,Object> createKey(String salt) {
    // 首先生成一个KeyPairGenerator对象,用于生成非对称公私钥,实例化时指定类型为“RSA”
    KeyPairGenerator keyPairGenerator = KeyPairGenerator.getInstance("RSA");
    // 根据salt创建一个随机源
    SecureRandom secureRandom = new SecureRandom(salt.getBytes());
    // 对KeyPairGenerator对象执行初始化,其中1024代表密钥大小,一般就取1024即可;参数二为随机源
    keyPairGenerator.initialize(1024, secureRandom);
    // 生成公私钥,“genKeyPair()”方法与“generateKeyPair()”方法相同,都能用
    KeyPair keyPair = keyPairGenerator.genKeyPair();

    // 创建一个Map保存公私钥并返回,可根据业务具体需求自己修改
    Map<String,Object> keyMap = new HashMap<>();
    keyMap.put("pubKey",keyPair.getPublic());  // 此时值的类型为PublicKey
    keyMap.put("priKey",keyPair.getPrivate());  // 此时值的类型为PrivateKey
    return keyMap;

    // 若需要将密钥写入文件,可以对生成的公私钥执行“对象名.getEncoded()”方法将密钥转换为“byte[]”,再写入文件
}

JWT

Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准(RFC 7519),该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。

在JWT中,主要的依赖为jjwt,相关信息如下

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.0</version>
</dependency>

接下来我们就可以利用这个依赖来完成token的创建和解析,主要的方法内容如下

// 通过私钥创建Token
// 参数分别为“用户信息”,“私钥”和“过期时间(秒)”
// <需要携带的用户信息需要提前保存在一个Map中,其中签名的作用是校验头信息和载荷信息是否合法>
public static String createUserToken(Map<String, Object> claims, PrivateKey privateKey, int exSecond) {

    JwtBuilder bd = Jwts.builder()  // 开启jwtBuilder的内容添加
                .addClaims(claims)  // 添加携带信息
                .setExpiration(new Date(System.currentTimeMillis() + exSecond*1000));  // 设置过期时间
    String userToken = bd
                .signWith(SignatureAlgorithm.RS256, privateKey)  // 指定签名的算法和密钥,其中RS256规定了非对称签名,私钥通过RSA生成
                .compact();  // 完成内容添加
    return userToken;
}


// 通过公钥解析Token,并将内容体返回
// 获取具体携带数据的方式为:  Object object = 该方法返回值.get("之前Map中的键名");
// 关于对Object类型的转换,可以借助“commons-lang3”中的ObjectUtils对象
public static Claims parserUserToken(String userToken,PublicKey publicKey) {

    // 通过公钥解析Token
    Jws<Claims> claimsJws = Jwts.parser()
                                .setSigningKey(publicKey)
                                .parseClaimsJws(userToken);
    // 获取携带内容体
    Claims body = claimsJws.getBody();
    return body;
}
最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
【社区内容提示】社区部分内容疑似由AI辅助生成,浏览时请结合常识与多方信息审慎甄别。
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

相关阅读更多精彩内容

友情链接更多精彩内容