在Clojure中解码JWT/Java

Question

我有一个JWT字符串。我可以将它粘贴到任何“解码JWT”的谷歌搜索结果中，并且它可以正确解码，而且不需要任何秘密或加密声明。但是我看到的所有例子，例如Buddy或jwtt，要求我提供他们加密的任何秘密。我怎么能简单地解码原始字符串，就像每个网站那样容易？

Answer 1

以下答案是丰富和良好的;这里是Clojure的版本为我工作：

(ns decode-jwt 
    (:require [cheshire.core :as json]) 
    (:import [org.apache.commons.codec.binary Base64])) 

(-> returned-jwt ;; returned-jwt is your full jwt string 
    (clojure.string/split #"\.") ;; split into the 3 parts of a jwt, header, body, signature 
    second ;; get the body 
    Base64/decodeBase64 ;; read it into a byte array 
    String. ;; byte array to string 
    json/decode ;; make it into a sensible clojure map 
    ) 

Answer 2

对JWT进行解码非常简单，但在验证签名之前，您绝对不应该相信这些声明。这就是为什么任何体面的智威汤逊图书馆都会要求你提供一个秘密，或者是使用RSA签署的公钥。

无论如何，一个JWT的格式是非常简单的 - 三个部分通过.分隔：

<header> . <payload> . <signature> 

每个部分是base64编码。所以，如果你只是想看到的索赔，你可以做这样的事情：

String jwt = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ"; 
String [] jwtParts = jwt.split("\\."); 
if (jwtParts.length == 3) { 
    String payload = new String(Base64.getDecoder().decode(jwtParts[1])); 
    System.out.println(payload); 
    // Now you can use some JSON library to decode payload. 
} 

Answer 3

上https://jwt.io/ Clojure的JWT库：[funcool/buddy], doc:http://funcool.github.io/buddy-sign/latest/`

user=> (require '[buddy.sign.jwt :as jwt]) 
user=> (jwt/sign {:userid 1} "secret") 
"eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyaWQiOjF9.5sxiy9q0YcpnXl2jBl-s4--C9iq5-4qC6CrW30NfRS4" 
user=> (jwt/unsign "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyaWQiOjF9.5sxiy9q0YcpnXl2jBl-s4--C9iq5-4qC6CrW30NfRS4" "secret") 
{:userid 1} 
user=>