SHA是一种哈希算法,有SHA1和SHA2,SHA2是更安全的,是对称加密技术;
RSA是一种非对称加密算法,而RSA又分为加密和签名2种。
- RSA加密:RSA密码体制是一种公钥密码体制,加密算法公开,以分配的密钥作为加密解密的关键,是为了保护数据的安全:公钥加密、私钥解密。
- RSA签名:签名就是在这份资料后面增加一段强而有力的证明,以此证明这段信息的发布者和这段信息的有效性完整性,是为了保证数据没被修改过:私钥签名、公钥验签。
加密是加密了原始数据,而签名是对对原始数据的hash做了加密,因此加密是可逆的,签名是不可逆的。
在使用RSA进行通讯的时候,一般是两者结合,即:加密>签名>解密>验签。SHA比RSA效率要高。
1. 生成JWT秘钥对
JWT生成可以采用SHA对称加密,也可以采用RSA非对称加密,这里使用RSA非对称加密。
1.1 使用Java自带的keytool生成
在CMD中,java的bin目录中,执行以下语句:
keytool -genkeypair -alias heart -keyalg RSA -keypass 123456 -keystore jwt.jks -storepass 123456
-alias : 别名
-keyalg :秘钥算法
-keypass :秘钥口令
-keystore :生成密钥库的存储路径和名称
-storepass :密钥库口令
1.2 生成jwt时秘钥使用
@Bean
public JwtTokenStore jwtTokenStore() {
return new JwtTokenStore(jwtAccessTokenConverter());
}
/**
* jwtToken转换器:设置JWT的一些参数
*/
@Bean
public JwtAccessTokenConverter jwtAccessTokenConverter() {
JwtAccessTokenConverter jwtAccessTokenConverter = new JwtAccessTokenConverter();
// 签名使用非对称加密的RSA设置这个
jwtAccessTokenConverter.setKeyPair(keyPair());
return jwtAccessTokenConverter;
}
@Bean
public KeyPair keyPair() {
//从classpath下的证书中获取秘钥对
KeyStoreKeyFactory keyStoreKeyFactory = new KeyStoreKeyFactory(new ClassPathResource("jwt.jks"), "kittys".toCharArray());
return keyStoreKeyFactory.getKeyPair("jwt", "123456".toCharArray());
}
2. 提取公钥
2.1 安装openssl
下载地址
注意:安装以后,将OpenSSL中的bin目录:C:\Program Files\OpenSSL-Win64\bin 添加到系统环境变量path中
2.2 提取
在cmd中,转到秘钥文件目录,执行:
keytool -list -rfc --keystore jwt.jks | openssl x509 -inform pem -pubkey
需要输入口令,也就是生成时的口令:123456
公钥会打印到cmd中:
public key
复制出来,放到文本中,改名
public.key使用
2.3 使用
@Bean
public RSAPublicKey rsaPublicKey() {
Resource resource = new ClassPathResource("public.key");
InputStream is = resource.getInputStream();
String publicKeyData = IoUtil.read(is).toString();
X509EncodedKeySpec keySpec = new X509EncodedKeySpec((Base64.decode(publicKeyData)));
KeyFactory keyFactory = KeyFactory.getInstance("RSA");
RSAPublicKey rsaPublicKey = (RSAPublicKey)keyFactory.generatePublic(keySpec);
return rsaPublicKey;
}
