Java 8 个 Base64 JWT 令牌变成 JSON
Java 8 Base64 JWT token into JSON
因此,我在网上和 Whosebug 上对此进行了一些研究,并且尝试了很多我发现的建议。问题是我正在登录我们的一项运行良好的 Oauth2 服务。我得到一个 Oath2 JWT 令牌。我知道这是 Base64 编码的,我可以将令牌放到 jwt.io 和 www.base64decode.org 中,这两个站点都会正确解析令牌。
我使用的是Java 8 Base64工具,代码如下:
public String getTokenProperty(String token, String propertyName)
{
byte[] bytes = Base64.getUrlDecoder().decode(token);
String decodedString = new String(bytes, StandardCharsets.UTF_8);
System.out.println("Decoded: " + decodedString);
return (new JSONObject(decodedString)).getString(propertyName);
}
解码器线路出现错误如下:
java.lang.IllegalArgumentException: Illegal base64 character 2e
我用我的 Oauth2 服务的令牌尝试了这个,我从 Syncope 得到了一个令牌,我从 Auth0 得到了一个令牌......所有 return 都带有 JWT Base64 编码的令牌。
使用来自这些不同服务器的所有这些令牌,我得到了同样的错误。
我想使用标准的 Java 8 Base64,但我认为我可能需要使用外部 third-party Base64 解码器。
任何帮助都会很棒。谢谢!
令牌如下:
eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsImtpZCI6Ik1qSTRRVFEwT1VRNU9VSXlSVEV6TlRBd05UVXpSVVExTlVOR05FVkVORGRDTlRnM016VXdRZyJ9.eyJodHRwczovL2JpdG9vbXRyYWRlci5uZXQvYXV0aG9yaXphdGlvbiI6eyJncm91cHMiOlsiQ29uc3VtZXJzIl0sInJvbGVzIjpbIlVzZXIiXX0sImlzcyI6Imh0dHBzOi8vYml0em9vbS5hdXRoMC5jb20vIiwic3ViIjoiYXV0aDB8NWNhNTE5NzZjYzMzZjUxMTBhYWNkYmM0IiwiYXVkIjpbImh0dHBzOi8vYml0em9vbS5hdXRoMC5jb20vYXBpL3YyLyIsImh0dHBzOi8vYml0em9vbS5hdXRoMC5jb20vdXNlcmluZm8iXSwiaWF0IjoxNTU5MzIzNDI1LCJleHAiOjE1NTk0MDk4MjUsImF6cCI6IlliRGFSelRVQkFtZEFrSExqdjZ0bEI3U05xSTF1RlNtIiwic2NvcGUiOiJvcGVuaWQgcHJvZmlsZSBlbWFpbCBhZGRyZXNzIHBob25lIHJlYWQ6Y3VycmVudF91c2VyIHVwZGF0ZTpjdXJyZW50X3VzZXJfbWV0YWRhdGEgZGVsZXRlOmN1cnJlbnRfdXNlcl9tZXRhZGF0YSBjcmVhdGU6Y3VycmVudF91c2VyX21ldGFkYXRhIGNyZWF0ZTpjdXJyZW50X3VzZXJfZGV2aWNlX2NyZWRlbnRpYWxzIGRlbGV0ZTpjdXJyZW50X3VzZXJfZGV2aWNlX2NyZWRlbnRpYWxzIHVwZGF0ZTpjdXJyZW50X3VzZXJfaWRlbnRpdGllcyIsImd0eSI6InBhc3N3b3JkIn0.St7097L1ZAlBWcAPrie-8CGV2F3Fr8uNYpSDVKSPVPF4zBZrmm62_UAj7Ssux8AjUy0LhjiF3kLpNph2L7yrpUREw6TyGJwQasfdVtM5VzRYUcy-fOGyRSqPQorbzxJQZzs2pyDJm-2hMQ0McJ37ubKIWrHFD5McMedN6THK7g5TExX47XCRPcOuCEWm3bf3zdWF2LEGhCw_c-lcZDwlb4ePkO721XjSWtrXEBvxc8scFNaHDt7VOnrSze4XK_LO8eE8bHRq6qUrWf1csYucK--aHazBsvfdl-6QDRk-tOBM-LdXJMT7H8Ih6trxVmZofQjr2dQ4j_3DTVoU3eLdog
更新:
我从 java,util.Base64 切换到 org.apache.commons.codec.binary.Base64
这似乎有点工作,我现在没有收到错误。
String decodedString = new String(bytes, StandardCharsets.UTF_8);
返回 header、负载和签名数据的字符串。所以,当我这样做时:
JSONObject jsonObject = new JSONObject(decodedString);
System.out.println("getTokenProperty: jsonObject = " + jsonObject.toString());
我只是取回 header 数据,我真正需要的是负载。
郑重声明...我从 "proof of concept" 项目继承的代码是:
public static String getTokenProperty(String token, String propertyName)
{
return (new JSONObject(new String(Base64.getDecoder().decode(token)))).getString(propertyName);
}
而且根本没有单元测试。所以,当我去对它进行单元测试时,它当然完全崩溃了。所以,现在我对如何解析这个token有了更好的理解,我会记住这个教训很长一段时间。
非常感谢!
它不解析的原因是因为您正在尝试对整个令牌进行 Base64URL 解码。但是您必须解码由点“.”分隔的令牌的部分。字符(十六进制的 0x2e,十进制的 46,html 中的 . -- ASCII/UTF8)..
示例:
public static void decodeTokenParts(String token)
{
String[] parts = token.split("\.", 0);
for (String part : parts) {
byte[] bytes = Base64.getUrlDecoder().decode(part);
String decodedString = new String(bytes, StandardCharsets.UTF_8);
System.out.println("Decoded: " + decodedString);
}
}
这是因为 JWT 令牌由以下部分组成:
Base64URLEncode({HeaderJSON}) + "." + Base64URLEncode({PayloadJSON}) + "." + Signature 例如..
所以要解码它..你需要用“.”来分割它。并解码每个部分。注意:签名通常是二进制的,编码为 base64,所以一旦你解码它,不要尝试打印它..它会打印字节。您需要验证签名。
您将看到每个 "part" 是如何编码的。它是彩色编码的。
我使用这个库 https://mvnrepository.com/artifact/com.auth0/java-jwt/3.12.0 进行解码以获取主题 (userId),因此:JWT.decode(token).getSubject()
因此,我在网上和 Whosebug 上对此进行了一些研究,并且尝试了很多我发现的建议。问题是我正在登录我们的一项运行良好的 Oauth2 服务。我得到一个 Oath2 JWT 令牌。我知道这是 Base64 编码的,我可以将令牌放到 jwt.io 和 www.base64decode.org 中,这两个站点都会正确解析令牌。
我使用的是Java 8 Base64工具,代码如下:
public String getTokenProperty(String token, String propertyName)
{
byte[] bytes = Base64.getUrlDecoder().decode(token);
String decodedString = new String(bytes, StandardCharsets.UTF_8);
System.out.println("Decoded: " + decodedString);
return (new JSONObject(decodedString)).getString(propertyName);
}
解码器线路出现错误如下:
java.lang.IllegalArgumentException: Illegal base64 character 2e
我用我的 Oauth2 服务的令牌尝试了这个,我从 Syncope 得到了一个令牌,我从 Auth0 得到了一个令牌......所有 return 都带有 JWT Base64 编码的令牌。 使用来自这些不同服务器的所有这些令牌,我得到了同样的错误。
我想使用标准的 Java 8 Base64,但我认为我可能需要使用外部 third-party Base64 解码器。
任何帮助都会很棒。谢谢!
令牌如下:
eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsImtpZCI6Ik1qSTRRVFEwT1VRNU9VSXlSVEV6TlRBd05UVXpSVVExTlVOR05FVkVORGRDTlRnM016VXdRZyJ9.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.St7097L1ZAlBWcAPrie-8CGV2F3Fr8uNYpSDVKSPVPF4zBZrmm62_UAj7Ssux8AjUy0LhjiF3kLpNph2L7yrpUREw6TyGJwQasfdVtM5VzRYUcy-fOGyRSqPQorbzxJQZzs2pyDJm-2hMQ0McJ37ubKIWrHFD5McMedN6THK7g5TExX47XCRPcOuCEWm3bf3zdWF2LEGhCw_c-lcZDwlb4ePkO721XjSWtrXEBvxc8scFNaHDt7VOnrSze4XK_LO8eE8bHRq6qUrWf1csYucK--aHazBsvfdl-6QDRk-tOBM-LdXJMT7H8Ih6trxVmZofQjr2dQ4j_3DTVoU3eLdog
更新:
我从 java,util.Base64 切换到 org.apache.commons.codec.binary.Base64 这似乎有点工作,我现在没有收到错误。
String decodedString = new String(bytes, StandardCharsets.UTF_8);
返回 header、负载和签名数据的字符串。所以,当我这样做时:
JSONObject jsonObject = new JSONObject(decodedString);
System.out.println("getTokenProperty: jsonObject = " + jsonObject.toString());
我只是取回 header 数据,我真正需要的是负载。
郑重声明...我从 "proof of concept" 项目继承的代码是:
public static String getTokenProperty(String token, String propertyName)
{
return (new JSONObject(new String(Base64.getDecoder().decode(token)))).getString(propertyName);
}
而且根本没有单元测试。所以,当我去对它进行单元测试时,它当然完全崩溃了。所以,现在我对如何解析这个token有了更好的理解,我会记住这个教训很长一段时间。
非常感谢!
它不解析的原因是因为您正在尝试对整个令牌进行 Base64URL 解码。但是您必须解码由点“.”分隔的令牌的部分。字符(十六进制的 0x2e,十进制的 46,html 中的 . -- ASCII/UTF8)..
示例:
public static void decodeTokenParts(String token)
{
String[] parts = token.split("\.", 0);
for (String part : parts) {
byte[] bytes = Base64.getUrlDecoder().decode(part);
String decodedString = new String(bytes, StandardCharsets.UTF_8);
System.out.println("Decoded: " + decodedString);
}
}
这是因为 JWT 令牌由以下部分组成:
Base64URLEncode({HeaderJSON}) + "." + Base64URLEncode({PayloadJSON}) + "." + Signature 例如..
所以要解码它..你需要用“.”来分割它。并解码每个部分。注意:签名通常是二进制的,编码为 base64,所以一旦你解码它,不要尝试打印它..它会打印字节。您需要验证签名。
您将看到每个 "part" 是如何编码的。它是彩色编码的。
我使用这个库 https://mvnrepository.com/artifact/com.auth0/java-jwt/3.12.0 进行解码以获取主题 (userId),因此:JWT.decode(token).getSubject()