2

我使用类似以下代码的方式进行了测试 JWT

String jwt = Jwts.builder()
    .setHeaderParam("typ", "jwt")
    .setId("myid")
    .setIssuer("ExampleIssuer")
    .setSubject("JohnDoe")
    .setIssuedAt(Date.from(LocalDateTime.now().toInstant(ZoneOffset.ofHours(-4))))
        .setExpiration(Date.from(LocalDateTime.now().toInstant(ZoneOffset.ofHours(-4)).plusSeconds(600)))
    .claim("perms",perms)
    .signWith(SignatureAlgorithm.HS512, "SECRET")
    .compact();

“perms”是一个自定义声明,它包含一个字符串数组列表(权限)。

所以当我收到 JWT 回来时,我使用以下代码

try{
Jwt<?, ?> claims = Jwts.parser().setSigningKey("SECRET").parse(jwt); 
System.out.println(claims.getBody().toString());
} catch (SignatureException e){
//Error
}

我得到类似的东西

{jti=myid, iss=ExampleIssuer, sub=JohnDoe, iat=1495678299, exp=1495678899, perms=[CREATE, VIEW]}

我的问题是:这是收回索赔的正确(预期)方式吗?从现在开始,我似乎需要使用自定义方法解析结果,但我认为这不是预期的方式。

谢谢。`

4

1 回答 1

3

我找到了一个解决方案,不确定是否是预期的,但它有效。我需要使用

Claims claims = new DefaultClaims();
        try{
            claims = Jwts.parser().setSigningKey("SECRET").parseClaimsJws(jwt).getBody();
        } catch (SignatureException e){
          //Signature error
        }

我可以对声明使用 Map 方法,也可以使用内置方法来恢复单个声明:

String jti = claims.getId();
String iss = claims.getIssuer();
String sub = claims.getSubject();
String iat = claims.getIssuedAt().toString();
String exp = claims.getExpiration().toString();

@SuppressWarnings("unchecked")
ArrayList<String> perms = (ArrayList<String>) claims.get("perms");

我想我可以取消对未经检查的强制转换的警告,因为因为我创建了具有相同值类的自定义声明,所以我知道它会发生什么。现在,令牌中的声明已正确解析为我可以使用的变量。

于 2017-05-25T19:20:31.827 回答