Идентификация пользователя с использованием аутентификации токена jwt
Я использую jersey rest webservice вместе с JWT с маркером маркера RSA для аутентификации. Я смог успешно создать и отправить токен в интерфейс. Теперь, когда я достиг этого, я смущен проверкой токена, а также идентификацией пользователя, запрашивающего ресурсы.
Несколько вопросов здесь:
- Должен ли я декодировать токен jwt, полученный на интерфейсе, чтобы проверить претензии?
- Как определить пользователя, запрашивающего ресурс на сервере?
Поскольку на некоторых из сообщений на SO некоторые люди заявили, что не требуется декодировать токен на лицевой стороне (проверьте эту ссылку), в то время как другие примеры на других сайтах показывают пример декодирования маркера на лицевой стороне, такой как этот
Теперь я смущен, как идти дальше о том, должен ли я фактически декодировать токен на интерфейсе или оставить его как есть? Если да, то как другие примеры показывают декодирование на интерфейсе следующим образом:
angular.module('app')
.factory('Auth', ['$http', '$localStorage', 'urls', function ($http, $localStorage, urls) {
function urlBase64Decode(str) {
var output = str.replace('-', '+').replace('_', '/');
switch (output.length % 4) {
case 0:
break;
case 2:
output += '==';
break;
case 3:
output += '=';
break;
default:
throw 'Illegal base64url string!';
}
return window.atob(output);
}
function getClaimsFromToken() {
var token = $localStorage.token;
var user = {};
if (typeof token !== 'undefined') {
var encoded = token.split('.')[1];
user = JSON.parse(urlBase64Decode(encoded));
}
return user;
}
Пример токена, который я использую здесь:
private void authenticate(String email, String password)
throws Exception {
try {
Connection con = DBConnection.getConnection();
PreparedStatement statement = con.prepareStatement("select USR_PRIMARY_EMAIL, USR_PASSWORD from TBL_USER where USR_PRIMARY_EMAIL=? and USR_PASSWORD=?");
statement.setString(1, email);
statement.setString(2, password);
ResultSet result = statement.executeQuery();
if (result.next()) {
System.out.println("User authenticated successfully");
KeyPairGenerator keyGenerator = KeyPairGenerator.getInstance("RSA");
keyGenerator.initialize(1024);
KeyPair kp = keyGenerator.genKeyPair();
RSAPublicKey publicKey = (RSAPublicKey) kp.getPublic();
RSAPrivateKey privateKey = (RSAPrivateKey) kp.getPrivate();
JWSSigner signer = new RSASSASigner(privateKey);
JWTClaimsSet claimsSet = new JWTClaimsSet();
claimsSet.setSubject("alice");
claimsSet.setIssuer("https://c2id.com");
claimsSet.setExpirationTime(new Date(new Date().getTime() + 60 * 1000));
System.out.println("publicKey is: " + publicKey);
System.out.println("privateKey is: " + privateKey);
System.out.println("claimsSet is: " + claimsSet);
SignedJWT signedJWT = new SignedJWT(new JWSHeader(JWSAlgorithm.RS256),claimsSet);
signedJWT.sign(signer);
token = signedJWT.serialize();
System.out.println("Token is: " + token);
signedJWT = SignedJWT.parse(token);
System.out.println("signedJWT is: " + signedJWT);
JWSVerifier verifier = new RSASSAVerifier(publicKey);
assertTrue(signedJWT.verify(verifier));
assertEquals("alice", signedJWT.getJWTClaimsSet().getSubject());
assertEquals("https://c2id.com", signedJWT.getJWTClaimsSet().getIssuer());
assertTrue(new Date().before(signedJWT.getJWTClaimsSet().getExpirationTime()));
} else {
System.out.println("User doesn't exist");
}
} catch (Exception e) {
System.out.println("DB related Error");
e.printStackTrace();
}
}
Еще одна проблема - это токен, созданный с помощью nimbus + jose_JWT (RSA-подпись). Я не могу декодировать в угловой библиотеке auth0. Это потому, что я использую открытый ключ?
1 ответ
Должен ли я декодировать токен jwt, полученный на интерфейсе, чтобы проверить претензии?
Да. Набор утверждений JWT - это JSON с кодировкой base64URL, поэтому вам нужно декодировать его, чтобы прочитать его.
Как определить пользователя, запрашивающего ресурс на сервере?
sub требование не является обязательным, но практически каждый провайдер JWT будет выдавать все маркера с предметом ID, который идентифицирует запрашивающий. Из спецификации JWT:
Заявка "под" (субъект) идентифицирует принципала, который является субъектом JWT. Претензии в JWT обычно являются заявлениями о предмете. Значение предмета ДОЛЖНО либо быть локальным, либо локально уникальным в контексте эмитента, либо быть глобально уникальным. Обработка этой заявки, как правило, зависит от конкретного приложения. Значение "sub" является строкой, чувствительной к регистру, содержащей значение StringOrURI. Использование этого требования ДОПОЛНИТЕЛЬНО.
Еще одна проблема - это токен, созданный с помощью nimbus + jose_JWT (RSA-подпись). Я не могу декодировать в угловой библиотеке auth0. Это потому, что я использую открытый ключ?
Нет. Все наборы требований JWT являются JSON с кодировкой base64URL независимо от метода подписи, поэтому вы должны иметь возможность декодировать его.
Ещё вопросы
- 0Выполнить очередь jQuery случайное количество раз
- 1Показать список из списка viewbag в MVC4
- 0AngularJS Случайно находит модуль, Случайно нет, Случайно выдает ошибку
- 1Теория позади изображения вычитает 0,5, а затем умножает на 2
- 1Как офлайн произнести английское слово в программировании Android?
- 0Не удается отредактировать файл
- 0Как передать данные о значении в ссылку на действие
- 1Найти первое значение в столбцах dataframe больше другого
- 0Не вернуть родителя с помощью фильтра в jquery
- 0Отображение определенного содержимого веб-сайта в веб-просмотр
- 1Не удалось выполнить сертификацию приложения Manifest
- 0Попытка использовать кнопку, чтобы установить значение в $ scope
- 1Приоритеты в TestNG
- 0Array push - изменить имя на ключ
- 1Есть ли какой-либо тип списка, который будет содержать информацию о пользователе во второй вкладке?
- 1Как исправить ошибку Layoutinflator not found?
- 1Определить, когда анимация завершена (AnimationListener)
- 1Где в конечном итоге происходит создание клика в Enterprise Architect?
- 0Как можно передать идентификатор с одного маршрутизатора на другой в Node.js
- 1стоимость объекта группы lodash json
- 0Файл блокировки Windows C ++ в памяти
- 1Как получить доступ к user_posts в Facebook Graph API
- 1Передача никогда не выполняется при остановке приложения
- 1Заголовок безопасности недействителен в массовых платежах PayPal
- 1Разделительная строка, если найден разделитель
- 0JQuery Content Switcher (не может заставить работать форму контакта внутри)
- 1Как установить значение месяца на основе количества
- 0установить фокус, нажав на элемент, но исключая некоторые дочерние элементы
- 1Значение не печатать
- 0Попытка включить «или» в случае на MySQL - код ошибки: 1241. Операнд должен содержать 1 столбец (ы)
- 1Как добавить JLabel к этому?
- 1Начальная настройка Android Realm
- 1получить цвет фона Cardview
- 0Mysqldump экспортирует дополнительные записи, чем в условии - где
- 0codeigniter получить количество num_rows
- 0Как извлечь только определенную дату-время из веб-ответа и сопоставить его с данной датой-временем?
- 0Каталоги поиска из исходников кода
- 1Модульная экспонента в Java (алгоритм дает неправильный ответ)
- 1Рисование TextBox
- 1Tokenize.detect_encoding (readline) есть только в python3?
- 0Ошибка при выделении текста жирным и цветным шрифтом в JTextPane
- 1Можно ли передать HTML в таблицу прокрутки в Gojs?
- 1Повторное использование потоков данных в течение некоторого времени
- 1Отображать изображения в сетке
- 0push () в глубокий массив
- 1iLNumerics не отображает мой 3D-график - график остается 2d
- 0Альтернатива нулевой структуре размера
- 0Как использовать VBA для изменения «проверенного» свойства переключателей на веб-странице
- 1Интернет перед WCF Security лучший вариант
- 0ngRepeat не работает в colorbox
sub,issиexpно без заголовка и подписи? Нужны ли мне эти значения, чтобы идентифицировать пользователя? а также вставить информацию авторизации в заголовок? или достаточно только полезной информации?Authorization(например,Authorization: Bearer eyJ...). Библиотеки JWT позволят вам получить доступ к набору утверждений при декодировании токена. Доступ к заголовку обычно не требуется, поскольку вы должны заранее знать, какой алгоритм подписи вы ожидаете (см. Auth0.com/blog/2015/03/31/… ). Также нет необходимости обращаться к подписи вручную, так как вы должны использовать методы проверки библиотеки напрямую.