Java在原始數據上膨脹異常

Question

我試圖在 Java 中解碼 JWT 有效負載，但此有效負載已壓縮/放氣

"zip": "DEF"

java.util.zip.DataFormatException：不正確的標頭檢查

private static byte[] decompress(byte[] value) throws DataFormatException {
        ByteArrayOutputStream bos = new ByteArrayOutputStream(value.length);
        Inflater decompressor = new Inflater();
        try {
          decompressor.setInput(value);
          final byte[] buf = new byte[1024];
          while (!decompressor.finished()) {
            int count = decompressor.inflate(buf);
            bos.write(buf, 0, count);
          }
        } finally {
          decompressor.end();
        }
        return bos.toByteArray();
      }




public static void main(String[] args) throws Exception {
        
        
        String payload = "7VPbjtMwEP2X4TUXO9CumjdYkFghoZVaFiHUB9eZNka-RLYTUVb5d8ZuKxW09AuQ8jL2mTPnHGeeYZLQPkM8Dgjtd-hjHEJb18EIH3sUOvaVFL4Lr6SbVMdXUNzAnIoyFTdxypjRql8iKmdhW4D02KGNSuj1uPuBMiZJ-175J_QhYVp4U7GKE2k6fTfaTmPCeAxu9BI3WT6cL4qzHZBOa2JLDAXQAH8kj8Q8av3FawJc-ltGgEvxAvEjSaV-Allh8EQijNLEB-vN280HujmoCW3K8OvHh_Wnb7CdydlOkfX3IiYSvlqxkr2mD-a5eFEGvy3j4Tq3AkIUcQzZpxk0RkypT0JKZfHedZlBuk7ZQ1YcjiGiIXh6GHqXXt9Vzh_qFGkdVFfL6ScRyNwJDbuDeTsXMJy9Zzl79GiTtuvoEgj93nmDPk8SMjqfGjoVBi1SSvdP68deeCPkkdxTMk7K0WeyFM9GmdPQhpdsWTZLEqJd_DyaXeIE_s_Imv-RnSJb_BUZS5ltZ8oNlCAtfNks2HLBOKe_eLf_80CFcHaZN1ZFXopBVXIKl8V15nqR64nXec3n3w";
       
         byte[] byt = Base64.getUrlDecoder().decode(new String(payload).getBytes("UTF-8"));
        
        byte[] b =  decompress(byt);
        String s = new String(b, StandardCharsets.UTF_8);
    }

其他編程語言中的其他一些人能夠使用它來破解這個問題，想知道我將如何在 Java 中完成它？

const decompressedCard = zlib.inflateRawSync(decodedPayload);
const card = JSON.parse(decompressedCard.toString());

Answer 1

通常壓縮的有效載荷用於加密的 JWT (JWE) ，但SMART Health Cards也在簽名令牌 (JWS) 中使用它。 在這兩種情況下，都使用RFC1951 中定義的 DEFLATE 格式。 對於 Zlib（如問題底部的示例所示），您必須使用deflateRaw / inflateRaw （DEFLATE 沒有任何 Zlib 或 gz 標頭）。

在java.util.zip.Inflater情況下，用

Inflater decompressor = new Inflater(true);

將nowrap參數設置為 true 以在原始模式（無標題）數據下解壓縮，
這相當於在 Node.js 中使用inflateRaw 。

（另見https://docs.oracle.com/javase/7/docs/api/java/util/zip/Inflater.html ）

使用此設置，問題中的代碼可以正常工作，並且可以將給定的示例數據膨脹為 JSON。

Answer 2

我認為關於nowrap的事情是正確的，但盡管如此，在修復損壞的輸入（如上所述）並執行以下操作之前，我無法使您的代碼正常工作：

import java.util.Base64;
import java.util.zip.GZIPInputStream;
import java.io.ByteArrayOutputStream;
import java.io.ByteArrayInputStream;
import java.io.IOException;
import java.nio.charset.StandardCharsets;

public class Decomp2 {

    public static byte[] gunzip(byte[] value) throws IOException {
        byte[] result = null;
        ByteArrayOutputStream out = new ByteArrayOutputStream();
        byte[] buf = new byte[1024];
        int numRead = -1;
        try (GZIPInputStream in = new GZIPInputStream(new ByteArrayInputStream(value))) {
            while ((numRead = in.read(buf)) > -1) {
                out.write(buf, 0, numRead);
            }
            result = out.toByteArray();
        }
        return result;
    }

    public static void main(String[] args) throws Exception {

        // Data gzipped and b64url-encoded
        String payload = "H4sIAKow-GAAA-1Ty27bMBC89zO2Vz1ItXZg3dokQIICRQC7CYrCB5paWwxIUSApoW6gf--StgG3SPwFAXRZcnZ2Zqh9gVFC_QJh3yPUv6ANofd1WXojXGhR6NAWUrjGf5R2VA1fQHYBcyjyWFzEKWOGTv0RQdkO1hlIhw12QQm9HDbPKEOUtG2Ve0TnI6aGzwUrOJHG069D12iMGIfeDk7iKsmH40V2tAPSak1skSEDGuD25JGYB61_OE2AU3_NCHAqXiF-IKnUT6BOGDyQCKM08cFy9WV1Szc7NWIXM3y6u19--wnriZxtFFm_ESGS8MWC5ewTfTBN2asy-GUZ9-e5ZeCDCINPPk2vMWBMfRRSqg6vbZMYpG1Ut0uK_d4HNASPD0Pv0uqrwrpdGSMtvWpKOf4mApk6oWJXMK2nDPqj9yRniw67qO08ughCt7XOoEuThAzWxYZG-V6LmNL14_KhFc4IuSf3lIyVcnCJLMazUuYwtOI5m-fVnIRoG74PZhM5gb8ZWfUe2SGy2X-RsZjZeqLcQAnSwufVjM1njHP6izfbfw-U90eXaWNV4LnoVSFHf1pca84XuRx5mdZ8-vAX5R6TWUMEAAA=";
        byte[] byt = Base64.getUrlDecoder().decode(payload.getBytes("UTF-8"));
        byte[] b = gunzip(byt);
        String s = new String(b, StandardCharsets.UTF_8);
        System.out.println(s);
    }
}