我在使用 JJWT 库创建 JWT 时遇到问题

【问题标题】:i'm having trouble creating a JWT with JJWT library我在使用 JJWT 库创建 JWT 时遇到问题
【发布时间】:2020-04-05 08:31:42
【问题描述】:

我在使用 JJWT 库创建 JWT 时遇到问题:https://github.com/jwtk/jjwt

我按照说明做了这个简单的课程:

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jws;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import io.jsonwebtoken.security.Keys;
import java.security.Key;
import java.util.Calendar;
import java.util.Date;

public class Test {
    public static void main(String[] args){

        Date date = new Date();
        Key key = Keys.secretKeyFor(SignatureAlgorithm.HS256);

        Calendar cal = Calendar.getInstance();
        cal.setTime(date);
        cal.add(Calendar.HOUR, 1);

        Date expirationDate = cal.getTime();

        String jws = Jwts.builder()
                .setSubject("user")
                .setId("1")
                .setIssuer("me")
                .setIssuedAt(new Date())
                .setExpiration(expirationDate)
                .setIssuedAt(date)
                .signWith(key)
                .compact();

        System.out.println("jws: "+ jws);
        decode(jws);
    }


    public static Jws<Claims> decode(String token){
        return Jwts.parser().setSigningKey(Keys.secretKeyFor(SignatureAlgorithm.HS256)).parseClaimsJws(token);
    }
}

当我运行它时,我得到了输出:

jws: eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJ1c2VyIiwianRpIjoiMSIsImlzcyI6InZpY3RvciIsImlhdCI6MTU3NjEwMTAyNiwiZXhwIjoxNTc2MTA0NjI2fQ.28JIsQSc273GT_qjyXEGjyh5KTJJ3thYVGQAa4ZQzvo

还有一个例外:

Exception in thread "main" io.jsonwebtoken.security.SignatureException: JWT signature does not match locally computed signature. JWT validity cannot be asserted and should not be trusted.
    at io.jsonwebtoken.impl.DefaultJwtParser.parse(DefaultJwtParser.java:383)
    at io.jsonwebtoken.impl.DefaultJwtParser.parse(DefaultJwtParser.java:513)
    at io.jsonwebtoken.impl.DefaultJwtParser.parseClaimsJws(DefaultJwtParser.java:573)
    at Test.decode(Test.java:38)
    at Test.main(Test.java:33)

当我在这个网站上粘贴我的 jwt 时:https://jwt.io/ 它给了我正确的(我认为)标题:

{
  "alg": "HS256"
}

以及正确的有效载荷:

{
  "sub": "user",
  "jti": "1",
  "iss": "victor",
  "iat": 1576100934,
  "exp": 1576104534
}

但它说签名无效。

我做错了什么?如何正确创建签名?

【问题讨论】:

    标签: java oauth-2.0 jwt jjwt


    【解决方案1】:

    验证是指根据创建令牌时使用的相同密钥(如果是对称算法,例如 HS256)检查签名。

    在您的代码中,您使用 convenience function:

    Keys.secretKeyFor(SignatureAlgorithm.HS256))

    它正在为给定的算法创建一个合适的密钥。但是您不会在令牌创建方法中的任何位置保存密钥,并在检查令牌时生成一个新密钥。那必须失败。

    相反,您必须保存生成的密钥并在验证调用中使用它。

    此外,当您在jwt.io 上检查您的令牌时,您需要在右栏中“验证签名”下的输入字段中提供用于创建的密钥。不知道密钥,无法验证签名。

    在任何实际使用场景中,您不会为每个令牌创建一个新密钥,而是拥有一个您可能存储在服务器端的密钥。

    【讨论】:

      猜你喜欢
      • 2017-04-30
      • 1970-01-01
      • 1970-01-01
      • 2017-07-18
      • 2017-03-26
      • 2020-05-06
      • 1970-01-01
      • 1970-01-01
      • 2021-10-21
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode