我目前正在尝试使用 apache CXF 实现 OAuth 2.0 令牌服务器。我的要求相当简单。我将有两种消费者,一种使用客户端凭据流,另一种使用客户端创建的 JWT 令牌。
使用documentation,我已经能够让客户端凭据流动并正常工作,但在 JWT 方面我有点迷茫。
据我了解,JWT 令牌是一个自包含令牌。就我而言,它将由我的一位注册客户生成。我使用以下库创建了一个 JWT 令牌:
https://github.com/auth0/java-jwt
现在 CXF 带有一个内置的 OAuthRequestFilter 来执行这部分验证访问令牌,我不确定在我的客户端服务器(JWT)上创建令牌时应该是什么流程,因为默认情况下我不认为该过滤器将能够处理它。
现在,我无法理解的是如何在我的服务器上处理这个令牌。我如何验证它?提取作用域?
【问题讨论】:
标签: java apache web-services oauth cxf
就我用过JWTs而言,它们可以相当简单地使用:
private static String superdupersecret = RandomStringUtils.randomAlphanumeric(24);
private static JWTSigner signer = new JWTSigner(superdupersecret);
private static JWTVerifier verifier = new JWTVerifier(superdupersecret);
所以要生成一个JWT:
Map<String, Object> claims = Maps.newHashMap();
claims.put("username", this.username);
claims.put("role", this.role);
//token is valid for 60 * 60 seconds = 1 hr.
claims.put("exp", Integer.valueOf((int) (3600 + System.currentTimeMillis() / 1000L)));
return signer.sign(claims);
并验证它:
try {
Map<String, Object> claims = verifier.verify(tokenString);
...String.valueOf(claims.get("username"))...
}
catch (InvalidKeyException | NoSuchAlgorithmException | IllegalStateException | SignatureException | IOException | JWTVerifyException e) {
e.printStackTrace();
...
}
所以你分两步验证它:
secret 来确定它是否是有效令牌并获取声明【讨论】: