[[390140]]

之前在Spring Security 實戰干貨系列中我使用了 Spring 官方提供的spring-security-jwt作為JWT的實現。目前該工具包已經不再維護，而且對于最新推出的Spring Security OAuth2 Client 和 Spring Authorization Server都不是特別的兼容。所以抽了兩天時間結合這兩個新依賴重新實現了 JWT。

Nimbus 庫

在目前最新的Spring Security中默認使用了Nimbus的 JOSE 庫nimbus-jose-jwt。這個庫目前是 JOSE 最常用的類庫之一，大部分的改造工作都是圍繞這個庫開展的。

改造的過程分享

流程上跟 Spring Security 實戰干貨大致是一樣的。

加載證書

證書依然使用 keytool 生成 2048 長度的 RSA 密鑰。

這里之前使用了比較“暴力”的方式直接讀取 KeyStore 然后使用公私鑰，本次將 KeyStore 加載的證書轉變為 JOSE 規范中的 JWK(Json Web Key)。

JWT

JWT 在 Spring Security 中被定義為org.springframework.security.oauth2.jwt.Jwt對象，對于 JWT 的操作可以抽象為兩個方面。

生成 JWT

首先就是生成 JWT。目前的 Spring Security 本身是不提供這個能力的，只有在孵化中的Spring Authorization Server提供了生成 JWT 的抽象接口JwtEncoder：

@FunctionalInterface 
public interface JwtEncoder { 
   Jwt encode(JoseHeader headers, JwtClaimsSet claims) throws JwtEncodingException; 
} 

JWT 的Header和Claims也被相應地抽象為JoseHeader和JwtClaimsSet。

于是我使用Nimbus對JwtEncoder進行了實現，其實是搬運了Spring Authorization Server的實現。當然也不是原版照搬，只是保證了門面一致，這樣后續如果這個項目成熟了之后我們就可以無縫兼容了。

解析 JWT

既然有JwtEncoder必然有JwtDecoder。這個在Spring Security OAuth2 Client中是提供實現的，同樣對其稍微加以改造。另外這個解碼器不但負責將 JWT 字符串解析為 JWT 對象，它還承擔了校驗功能，這里有一個委托校驗器DelegatingOAuth2TokenValidator，我們可以靈活定制來執行多個 JWT 校驗策略。

Token 對

我們都知道通常 JWT 中的 Token 都是成對出現的。之前只是簡單用一個類來封裝了accessToken和refreshToken的字符串形態。這次使用了spring ecurity oauth2 core提供的OAuth2AccessTokenResponse:

public final class OAuth2AccessTokenResponse { 
 
   private OAuth2AccessToken accessToken; 
 
   private OAuth2RefreshToken refreshToken; 
 
   private Map<String, Object> additionalParameters; 
} 

這個類表達的內容更加豐富和靈活。對應的 json：

{ 
  "accessToken": { 
    "tokenValue": "eyJraWQiOiJmZWxvcmRjbiIsInR5cCI6IkpXVCIsImFsZyI6IlJTMjU2In0.eyJzdWIiOiJhbGwiLCJhdWQiOiJyb290IiwiaXNzIjoiaHR0cHM6XC9cL2ZlbG9yZC5jbiIsInNjb3BlcyI6WyJST0xFX0FETUlOIiwiUk9MRV9BUFAiXSwiZXhwIjoxNjE2ODM4NTg4LCJpYXQiOjE2MTY4MzQ5ODgsImp0aSI6IjBiYTUwZjFhLTI0N2YtNDJlYi05NzZiLTkyZWM5NDg2YjA2MCJ9.dwUK4ZgqhalKWu5AA8ZqaHjD2WPerhiF8lmybZGAorbncWdfVk7iAKUdRZunUekZmab_FsVpwprWIQpqSLtp6tz28sI71gO2StEeye5Vv4JRZKys68q2LGOAqMVJnBisEl211b5ASHSlP1qleU_TDxO_rgems76ZFD-kc1KmyelsoiBhmT3aD2_A_3fUmH7mV0jnC0rHauzOpS0AWnuPJaXbGPqrWotkQ_oqly47jipfNsPl_PUY1urng1wSx4QyblS8UgK-n5wJABhSN550WlwNLuC10ZckbhE5gazM0mD86mA_Xepe7LY5rjGNvO-Cz9k44TaURnTdSBdyy_EOiQ", 
    "issuedAt": { 
      "epochSecond": 1616834988, 
      "nano": 891000000 
    }, 
    "expiresAt": { 
      "epochSecond": 1616838588, 
      "nano": 891000000 
    }, 
    "tokenType": { 
      "value": "Bearer" 
    }, 
    "scopes": [ 
      "ROLE_ADMIN", 
      "ROLE_APP" 
    ] 
  }, 
  "refreshToken": { 
    "tokenValue": "eyJraWQiOiJmZWxvcmRjbiIsInR5cCI6IkpXVCIsImFsZyI6IlJTMjU2In0.eyJzdWIiOiJhbGwiLCJhdWQiOiJyb290IiwiaXNzIjoiaHR0cHM6XC9cL2ZlbG9yZC5jbiIsInNjb3BlcyI6WyJST0xFX0FETUlOIiwiUk9MRV9BUFAiXSwiaWF0IjoxNjE2ODM0OTg4LCJqdGkiOiI3N2RhODk3NC0xMjM0LTQ5NzctOWU1MS1hOGY2NTdjMzA2NjAifQ.O9YYxkevkrTke7GbK2R5LGphnJ9vd07yFSwPs2gEZ94ObPkIs1wJ5gvlNOIlni_BYMNO-nMB8TiX0w-RQSwo-sbVLqeUHqv6NEXXmPJiWVmXTFVJf2b6lqW5Re7clXGvkFMw14ptAF6cpThDEE5XF4eCI8CDKKPWqNxY-8NvokwIY3NMXB1ofuHHRqjMyVUwNjOv6eaTJFTwebPy6Saem9kvaL_X1v9Drok6azbg5DSP1zKnbVazTaOs4aBZd5Firib3r_BGXdaJWAgJKfpP61__muVdujgkppMVU8fC9pqfnb6IqEaAOIZ69lrezA1K0QFinOhgcC2YZFxFoLL-IQ", 
    "issuedAt": { 
      "epochSecond": 1616834988, 
      "nano": 891000000 
    }, 
    "expiresAt": null 
  }, 
  "additionalParameters": {} 
} 

總結

其它大致沒有改變多少，盡可能保證了原來的味道，又能夠兼容 Spring Security 未來的風格。在代碼迭代的過程中，如何能夠同時做到兼容和靈活?關鍵就在于是否制定了統一的入口抽象和出口抽象。如果你能夠做到這一點，你的代碼質量就會明顯的提高很多。