所以我正在使用第 3 方 RESTful 网络服务,我必须通过请求 JWT 来验证自己并将其提供给任何进一步的请求。 我通过发布我的用户名和密码并为此接收令牌来做到这一点。除了用户名和密码,我不知道用于创建令牌的秘密,也不知道其他任何信息。
现在,我想检查 JWT 的过期时间,然后再将其用于后续的 Web 服务请求或仅更新它。我知道我可以使用它并捕获某种到期异常,但我不想这样做。
我尝试按照本教程进行操作:[https://stormpath.com/blog/token-auth-for-java]
但是卡在我必须提供签名密钥的地方。
我将如何做到这一点,因为我没有用于对其进行编码的秘密。
顺便说一句:我正在与 groovy 和 wslite 合作。
【问题讨论】:
标签: web-services rest groovy jwt
您应该能够获取令牌的主体并对其进行解码。
私钥不用于加密 JWT 的主体,它只是用于生成签名...
所以,在 Groovy 中你可以这样做:
// A JWT from the link you gave above
String key = 'eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJodHRwOi8vdHJ1c3R5YXBwLmNvbS8iLCJleHAiOjEzMDA4MTkzODAsInN1YiI6InVzZXJzLzg5ODM0NjIiLCJzY29wZSI6InNlbGYgYXBpL2J1eSJ9.43DXvhrwMGeLLlP4P4izjgsBB2yrpo82oiUPhADakLs'
// Just the body (middle section)
String body = key.split(/\./)[1]
// Un base64 it (using the Java 8 Base64 class)
String unencoded = new String(Base64.decoder.decode(body), 'UTF-8')
// Parse the json into a map
Map data = new groovy.json.JsonSlurper().parseText(unencoded)
// Get the expiry
long exp = data.exp
assert exp == 1300819380
当然,没有什么可以说令牌的主体必须包含任何形式的到期时间供您查看...它可能只是一个内部 ID
【讨论】:
如果您不知道用于对其进行编码的密码,也不想破解他们的密码,那么您将无法从令牌中解码任何信息。没有像“必须在令牌中编码的标准信息”这样的东西,令牌根本不需要它应该包含任何加密信息,它可能只是存储在数据库中的随机生成的 UUID,所以在这种情况下你根本无法解码它。
【讨论】: