java - 如何延长过期时间java json web token?

【问题标题】:How to extend expiration time java json web token?java - 如何延长过期时间java json web token?
【发布时间】:2015-06-26 23:19:31
【问题描述】:

我尝试使用 jjwt library 在 Java 中创建 Json Web Token

但是当我尝试延长过期时间时遇到问题。

我用下面的代码试试。

public class Main {
public static void main(String args[]) {
    byte[] key = new byte[64];
    new SecureRandom().nextBytes(key);
    Date date = new Date();
    long t = date.getTime();
    Date expirationTime = new Date(t + 5000l); // set 5 seconds

    String compact = Jwts.builder().setSubject("Joe").setExpiration(expirationTime).signWith(SignatureAlgorithm.HS256, key).compact();
    System.out.println("compact : " + compact);
    try {
        String unpack = Jwts.parser().setSigningKey(key).parseClaimsJws(compact).getBody().getSubject();
        System.out.println("unpackage 0 : " + unpack);
        
        // check if the expiration work.
        Thread.sleep(3000);
        System.out.println("unpackage 1 : " + Jwts.parser().setSigningKey(key).parseClaimsJws(compact).getBody().getSubject());
        
        //extend the expration time.
        Date date1 = new Date();
        long t1 = date1.getTime();
        Date expirationTime1 = new Date(t1 + 5000l); //prolongation 5 seconds
        Jwts.parser().setSigningKey(key).parseClaimsJws(compact).getBody().setExpiration(expirationTime1).getSubject();
        
        // check if the extend expiration work.
        Thread.sleep(3000);            
        System.out.println("unpackage 2 : " + Jwts.parser().setSigningKey(key).parseClaimsJws(compact).getBody().getSubject());
    } catch (InterruptedException | ExpiredJwtException ex) {
        System.out.println("exception : " + ex.getMessage());
        Thread.currentThread().interrupt();
    }
}

结果是:

紧凑型:eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJKb2UiLCJleHAiOjE0Mjk2NjU1MjB9.oMY2mDHvNoMZqBfic41LbiKvAyi93wIfu_WgIADb9Wc 解包 0:乔 解包1:乔 例外:JWT 于 2015-04-22T08:18:40+0700 过期。当前时间:2015-04-22T08:18:42+0700

也就是说,unpackage2 不能运行,因为已经过期了。

我试图延长过期时间。

因为我将代码应用到网络应用程序上。

如果用户仍然连接到我的应用程序,他不应该得到令牌超时。

我找到了和我一样的another question

【问题讨论】:

  • 我将您的代码复制并粘贴到单元测试中,并针对 JJWT 0.3 和 0.4 运行它,但无法重现您遇到的问题。可以在运行时粘贴代码的输出吗?

标签: java token jwt


【解决方案1】:

问题出在解析代码上:

Jwts.parser().setSigningKey(key).parseClaimsJws(compact).getBody().setExpiration(expirationTime1).getSubject();

在这一行中,您正在修改解析器返回的 JWT。也就是说,上面等价于这个:

Jws<Claims> jws = Jwts.parser().setSigningKey(key).parseClaimsJws(compact);
jws.getBody().setExpiration(expirationTime1).getSubject();

注意这段代码如何修改解析器返回的 JWT?它不会 - 也不能 - 修改由原始 compact 字符串表示的 JWT。

之后您的下一行代码会尝试解析原始(未修改的)compact String:

// check if the extend expiration work.
Thread.sleep(3000);            
System.out.println("unpackage 2 : " + Jwts.parser().setSigningKey(key).parseClaimsJws(compact).getBody().getSubject());

但我们知道这不会起作用,因为更改解析器返回的 JWT 的状态不会对原始 compact 字符串产生任何影响。

如果您的用户向您的 Web 应用程序提供 JWT,并且您希望“延长令牌的生命周期”使其不会过期,您必须生成新的 JWT 并将该 JWT 发回给用户。用户应该在以后的请求中发回新的 JWT。只要您希望允许用户继续与您的 Web 应用程序对话而无需重新登录,您就可以一直重复此过程。

我应该指出,如果您不想担心这些事情,Stormpath 可以自动为您在浏览器和您的应用程序之间执行用户和 JWT 令牌身份验证 - 您不必构建任何这个自己(披露:我是 Stormpath 的 CTO)。

最后,您可能有兴趣知道 JJWT 的测试套件已经在许多地方验证了过期和过早令牌用例的正确行为:

但是,您不必相信我的话 :) 这是您的代码,已修改,以便您的到期修改功能如所述:

public class Main {

public static void main(String args[]) {
    byte[] key = new byte[64];
    new SecureRandom().nextBytes(key);
    Date date = new Date();
    long t = date.getTime();
    Date expirationTime = new Date(t + 5000l); // set 5 seconds

    String compact = Jwts.builder().setSubject("Joe").setExpiration(expirationTime).signWith(SignatureAlgorithm.HS256, key).compact();
    System.out.println("compact : " + compact);
    try {
        String unpack = Jwts.parser().setSigningKey(key).parseClaimsJws(compact).getBody().getSubject();
        System.out.println("unpackage 0 : " + unpack);

        // check if the expiration work.
        Thread.sleep(3000);
        System.out.println("unpackage 1 : " + Jwts.parser().setSigningKey(key).parseClaimsJws(compact).getBody().getSubject());

        //Create a *new* token that reflects a longer extended expiration time.
        Date date1 = new Date();
        long t1 = date1.getTime();
        Date expirationTime1 = new Date(t1 + 5000l); //prolongation 5 seconds

        String compact2 = Jwts.builder().setSubject("Joe").setExpiration(expirationTime1).signWith(SignatureAlgorithm.HS256, key).compact();

        // check if the extend expiration work.
        Thread.sleep(3000);
        System.out.println("unpackage 2 : " + Jwts.parser().setSigningKey(key).parseClaimsJws(compact2).getBody().getSubject());

        Thread.sleep(1000);
    } catch (InterruptedException | ExpiredJwtException ex) {
        System.out.println("exception : " + ex.getMessage());
        Thread.currentThread().interrupt();
    }
}
}

请注意,需要生成第二个 JWT (compact2) 以反映新的/最新的到期时间。您不能修改已解析的 JWT 并期望更改应用于原始紧凑值。

总之,当您需要解析 JWT 字符串以获得 JWT 的良好 Java 对象表示时,请使用 Jwts.parser()。当您需要创建或修改 JWT 以生成新的紧凑字符串表示时,请使用 Jwts.builder()

希望对你有帮助!

【讨论】:

  • 好的,有没有办法生成新的令牌,只有你手中的过期令牌?所以我想要做的是解析过期的令牌,从它的主体中获取主题(我知道它已经过期,但是它在使用签名密钥检查主体和标题方面是有效的),然后我想使用这个提取的主题来生成有效的授权令牌。谢谢
  • 好的!我得到了它!有一个方法io.jsonwebtoken.ClaimJwtException#getClaims
  • @hsestupin 不,您应该永远信任过期的令牌或未通过签名验证的令牌。 从不。如果你这样做,你就明显违反了 JWT 规范,这是一个黄旗,你需要重新考虑你的设计(你正在尝试做一些应该以不同方式做的事情)。
  • 你好,我不明白下面代码的使用 String unpack1 = Jwts.parser().setSigningKey(key).parseClaimsJws(compact).getBody().getSubject(); System.out.println("解包 0 :" + unpack1); // 检查过期是否有效。线程.sleep(3000); String unpack2 = Jwts.parser().setSigningKey(key).parseClaimsJws(compact).getBody().getSubject(); System.out.println("解包 1 : " +unpack2);
猜你喜欢
  • 2023-03-19
  • 2021-05-10
  • 2016-04-15
  • 1970-01-01
  • 2014-07-11
  • 1970-01-01
  • 2019-03-06
  • 2016-10-15
  • 1970-01-01
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode