有人會問為何有這樣的需求?那么下面我來解釋下。
需求背景:
項目用的語言主要是asp.net core 3.1。基於業界成熟框架abp,使用JWT生成token。
但是個別功能使用了java。原因是java開源的東西比較多,也比較好用。最主要是我們的這個功能.net沒有。
人手有限,前端直接調用java接口更方便。無需前端調用.net接口,然后.net再在接口上調用java的接口。
那么產生一個問題:前端直接調用java接口,傳過來的的token在我的springboot項目里面如何校驗有效性?
首先想到的是:JWT不分語言,就像一些加密解密算法一樣,.net加的密如果.net能解,那么java肯定也可以解。
JWT此處就不介紹了,直奔主題。
.net使用JWT時用到了秘鑰,具體如下:
"Authentication": { "JwtBearer": { "IsEnabled": "true", "SecurityKey": "SecurityKey_111", "Issuer": "Issuer_111", "Audience": "Audience_111" } }
所以java在解密時也要使用秘鑰,不然直接JWT.decode(token)沒啥意義,起不到校驗的作用。
需要先引用java中的一個組件:
<!-- https://mvnrepository.com/artifact/com.auth0/java-jwt -->
<dependency>
<groupId>com.auth0</groupId>
<artifactId>java-jwt</artifactId>
<version>3.12.0</version>
</dependency>
具體代碼如下:
JWTVerifier verifier = JWT.require(Algorithm.HMAC256("SecurityKey_111")).withIssuer("Issuer_111").withAudience("Audience_111").build();
DecodedJWT jwt = verifier.verify(token);
只要這段代碼不報異常就表示解密成功。如果報了異常則說明秘鑰不對。
參考文章:
https://blog.csdn.net/qq_37725650/article/details/103975557
https://www.jianshu.com/p/e88d3f8151db