堆栈内存溢出
  繁体   English   中英

我在使用 JJWT 库创建 JWT 时遇到问题

[英]i'm having trouble creating a JWT with JJWT library

 原文  2019-12-12 01:03:54       java/ oauth-2.0/ jwt/ jjwt

问题描述

我在使用 JJWT 库创建 JWT 时遇到问题: https : //github.com/jwtk/jjwt

我按照说明做了这个简单的类:

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jws;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import io.jsonwebtoken.security.Keys;
import java.security.Key;
import java.util.Calendar;
import java.util.Date;

public class Test {
    public static void main(String[] args){

        Date date = new Date();
        Key key = Keys.secretKeyFor(SignatureAlgorithm.HS256);

        Calendar cal = Calendar.getInstance();
        cal.setTime(date);
        cal.add(Calendar.HOUR, 1);

        Date expirationDate = cal.getTime();

        String jws = Jwts.builder()
                .setSubject("user")
                .setId("1")
                .setIssuer("me")
                .setIssuedAt(new Date())
                .setExpiration(expirationDate)
                .setIssuedAt(date)
                .signWith(key)
                .compact();

        System.out.println("jws: "+ jws);
        decode(jws);
    }


    public static Jws<Claims> decode(String token){
        return Jwts.parser().setSigningKey(Keys.secretKeyFor(SignatureAlgorithm.HS256)).parseClaimsJws(token);
    }
}

当我运行它时,我得到输出:

jws: eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJ1c2VyIiwianRpIjoiMSIsImlzcyI6InZpY3RvciIsImlhdCI6MTU3NjEwMTAyNiwiZXhwIjoxNTc2MTA0NjI2fQ.28JIsQSc273GT_qjyXEGjyh5KTJJ3thYVGQAa4ZQzvo

和例外:

Exception in thread "main" io.jsonwebtoken.security.SignatureException: JWT signature does not match locally computed signature. JWT validity cannot be asserted and should not be trusted.
    at io.jsonwebtoken.impl.DefaultJwtParser.parse(DefaultJwtParser.java:383)
    at io.jsonwebtoken.impl.DefaultJwtParser.parse(DefaultJwtParser.java:513)
    at io.jsonwebtoken.impl.DefaultJwtParser.parseClaimsJws(DefaultJwtParser.java:573)
    at Test.decode(Test.java:38)
    at Test.main(Test.java:33)

同样,当我将 jwt 粘贴到此站点时: https : //jwt.io/它给了我正确的(我认为)标题:

{
  "alg": "HS256"
}

和正确的有效载荷:

{
  "sub": "user",
  "jti": "1",
  "iss": "victor",
  "iat": 1576100934,
  "exp": 1576104534
}

但它说签名无效。

我究竟做错了什么? 如何正确创建签名?

1 个解决方案

解决方案1
 1 已采纳  2019-12-12 06:56:36

验证是指根据创建令牌时使用的相同密钥(在对称算法如 HS256 的情况下)检查签名。

在您的代码中,您使用便利功能

Keys.secretKeyFor(SignatureAlgorithm.HS256))

这是为给定算法创建合适的密钥。 但是您不会在令牌创建方法中的任何位置保存密钥,而是在检查令牌时生成一个新密钥。 那必须失败。

相反,您必须保存生成的密钥并在验证调用中使用它。

此外,当您在jwt.io上检查您的令牌时,您需要在右列“验证签名”下的输入字段中提供用于创建的密钥。 如果不知道密钥,就无法验证签名。

在任何实际使用场景中,您都不会为每个令牌创建一个新密钥,而是拥有一个您可能已存储在服务器端的密钥。

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 我在创建响应式机器人时遇到了麻烦 Java jjwt 为 JWT 创建无效的 JSON 我在用Java创建交互式菜单时遇到了麻烦 我在创建一个简单的 Java UDP 系统时遇到问题 我在使用smack 4.2 Openfire创建XMPP客户端时遇到问题 我在为多线程程序创建第二个线程时遇到麻烦 我在使用doGet和doPost方法时遇到麻烦 我在使用JAVA循环时遇到麻烦 我在执行 jetbrains 学院任务时遇到问题 我无法完善switch语句
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM