JWT解析詳解

JWT(JSON Web Token)是一種開放的標準，在網絡應用中實現無狀態分佈式身份驗證。該標準定義了一種緊湊的、自包含的方式用於在各方之間作為JSON對象安全地傳輸信息。JWT可以使用HMAC算法或者RSA公鑰/私鑰對進行簽名，驗證這些信息的完整性。JWT由三部分組成，頭部、載荷和簽名。

一、JWT解析異常

在使用JWT解析時，可能會出現一些異常情況，比如簽名驗證失敗、過期、格式不正確等。以下是一些常見的異常情況及其解決方法。

1、SignatureVerificationException：簽名驗證失敗。

try{
    Jwt jwt = JwtHelper.decodeAndVerify(token, verifier);
    // do something
} catch (SignatureVerificationException e) {
    // throw exception
}

在使用JWT解碼並驗證時，如果簽名驗證失敗，將會拋出SignatureVerificationException異常。如果出現這種情況，需要再次檢查密鑰是否正確，或者嘗試重新生成JWT。

2、ExpiredJwtException：JWT過期。

try{
    Jwt jwt = JwtHelper.decodeAndVerify(token, verifier);
    // do something
} catch (ExpiredJwtException e) {
    // throw exception
}

在解碼JWT時，如果JWT的過期時間早於當前時間，則會拋出ExpiredJwtException異常。這種情況通常是由於JWT過期或者時間戳設置錯誤導致的，可以嘗試重新生成JWT，或者調整時間戳。

3、IllegalArgumentException：JWT格式不正確。

try{
    Jwt jwt = JwtHelper.decodeAndVerify(token, verifier);
    // do something
} catch (IllegalArgumentException e) {
    // throw exception
}

在解碼JWT時，如果JWT的格式不正確，則會拋出IllegalArgumentException異常。這種情況通常是由於生成JWT時參數傳遞錯誤，或者JWT被篡改導致的，可以重新生成JWT。

二、JWT解析 C#

在C#中，可以使用System.IdentityModel.Tokens.Jwt包來進行JWT的解析和生成。以下是一些常見的操作。

1、生成JWT。

var securityKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes("secretKey"));
var credentials = new SigningCredentials(securityKey, SecurityAlgorithms.HmacSha256Signature);

var claims = new[] {
    new Claim(JwtRegisteredClaimNames.Sub, "user-1234"),
    new Claim(JwtRegisteredClaimNames.Email, "user@example.com"),
    new Claim(JwtRegisteredClaimNames.Exp, DateTime.UtcNow.AddMinutes(20).ToString())
};

var token = new JwtSecurityToken(
    issuer: "myapp",
    audience: "myapp",
    claims: claims,
    expires: DateTime.UtcNow.AddMinutes(20),
    signingCredentials: credentials);

var jwtToken = new JwtSecurityTokenHandler().WriteToken(token);

2、解析JWT。

var tokenHandler = new JwtSecurityTokenHandler();
var validationParameters = new TokenValidationParameters {
    ValidateIssuerSigningKey = true,
    IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes("secretKey")),
    ValidateIssuer = true,
    ValidIssuer = "myapp",
    ValidateAudience = true,
    ValidAudience = "myapp",
    ValidateLifetime = true,
    ClockSkew = TimeSpan.Zero
 };

 SecurityToken validatedToken;
 var claimsPrincipal = tokenHandler.ValidateToken(jwtToken, validationParameters, out validatedToken);
 var claims = claimsPrincipal.Claims;

三、JWT解析網站

有一些在線網站可以幫助我們解析JWT Token，比如jwt.io，這個網站提供了可視化的界面，可以直觀地看到JWT中各個部分的內容。使用方法非常簡單，只需要將JWT Token粘貼到網站上即可。

四、JWT生成Token

在生成JWT Token時，需要考慮很多因素，比如密鑰、過期時間、頒發者、受眾等。以下是一些例子。

1、使用HMAC算法生成JWT Token。

// set header
var header = new { alg = "HS256", typ ="JWT"};
var encodedHeader = Base64UrlEncode(Encoding.UTF8.GetBytes(JsonConvert.SerializeObject(header)));

// set payload
var payload = new { sub = "user-1234", exp = DateTime.UtcNow.AddMinutes(20)};
var encodedPayload = Base64UrlEncode(Encoding.UTF8.GetBytes(JsonConvert.SerializeObject(payload)));

// set signature
var signature = HMACSHA256(encodedHeader + "." + encodedPayload, "secretKey");

// create JWT
var jwtToken = encodedHeader + "." + encodedPayload + "." + signature;

2、使用RSA算法生成JWT Token。

// set header
var header = new { alg = "RS256", typ ="JWT"};
var encodedHeader = Base64UrlEncode(Encoding.UTF8.GetBytes(JsonConvert.SerializeObject(header)));

// set payload
var payload = new { sub = "user-1234", exp = DateTime.UtcNow.AddMinutes(20)};
var encodedPayload = Base64UrlEncode(Encoding.UTF8.GetBytes(JsonConvert.SerializeObject(payload)));

// sign JWT
string rsaKeyPrivate = "-----BEGIN PRIVATE KEY-----\nMIIEvAIBADANBgkqhkiG9w0BAQEFAASCBKY=\n-----END PRIVATE KEY-----";
var rsa = new RSACryptoServiceProvider();
rsa.ImportFromPem(rsaKeyPrivate);
var signature = rsa.SignData(Encoding.UTF8.GetBytes(encodedHeader + "." + encodedPayload), new Sha256Managed());

// create JWT
var jwtToken = encodedHeader + "." + encodedPayload + "." + signature;

五、JWT Token是否可破解

JWT Token是否可破解是一個比較複雜的問題，需要考慮很多因素，比如密鑰強度、算法類型、安全性等。總的來說，使用足夠長、足夠複雜的密鑰、合適的算法類型，可以大幅度提高JWT Token的安全性。

六、JWT在線工具

為了更方便地生成、解析JWT Token，有一些在線工具可以幫助我們快速實現。以下是一些比較常見的工具：

• jwt.io
• jwtbuilder.jamiekurtz.com
• dev-toolkit.com/jwt

七、JWTBearer解碼

在ASP.NET Core中，可以使用JWT Bearer Authentication來實現基於JWT的身份驗證。以下是一個簡單的例子：

services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
    .AddJwtBearer(options => 
    {
        options.TokenValidationParameters = new TokenValidationParameters
        {
            ValidateIssuerSigningKey = true,
            IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(Configuration["Jwt:Key"])),
            ValidateIssuer = true,
            ValidIssuer = Configuration["Jwt:Issuer"],
            ValidateAudience = true,
            ValidAudience = Configuration["Jwt:Audience"],
            ValidateLifetime = true,
            ClockSkew = TimeSpan.Zero
        };
    });

八、JWT解析工具

最後，推薦一些常見的JWT解析工具：

• 在線解析工具：jwt.io
• 命令行工具：lcobucci/jwt
• Java工具：auth0/java-jwt
• C#工具：AzureAD/azure-activedirectory-identitymodel-extensions-for-dotnet