如何使用秘密 base64 编码在 Java 中创建 JWT

Question

使用在线 JWT 调试器对 JWT 令牌进行编码和解码，我创建了这个简单令牌

https://jwt.io/#debugger-io?token=eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJhZG1pbiIsImF1ZCI6IlNvbHIifQ.5T7L_L1MPfQ_5FjKGa1fTPqrzwK4bNSM812nW6oyjb8

编码令牌的秘密是
qwertypassword

标题是{ "alg": "HS256"}

有效载荷是{ "sub": "admin", "aud": "Solr"}

当您使用非 base64 编码的密钥进行编码时，它会生成 JWT eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJhZG1pbiIsImF1ZCI6IlNvbHIifQ.5T7L_L1MPfQ_5FjKGa1fTPqrzwK4bNSM812nW6oyjb8

当秘密是 base64 编码时，它会生成 JWT eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJhZG1pbiIsImF1ZCI6IlNvbHIifQ.SWCJDd6B_m7xr_puQH-wgbxvXyJYXH9lTpldOU0eQKc

这里是生成 JWT 的 Java 代码，用于当密钥不是 base64 编码时。

import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
public class JWTEncodeTest {
    public static void main(String[] args) {
        try {
            String secretkey="qwertypassword";

            //The JWT signature algorithm we will be using to sign the token
            String jwtToken = Jwts.builder()
                .setSubject("admin")
                .setAudience("Solr")
                .signWith(SignatureAlgorithm.HS256,secretkey.getBytes()).compact();

            System.out.println("jwtToken=");
            System.out.println(jwtToken);
        } catch (Exception e)
        {
            System.out.println(e.getMessage());
        }
    }
}

我在这段 Java 代码中缺少什么来生成 JWT，其中秘密 base64 编码以生成 JWT 值

eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJhZG1pbiIsImF1ZCI6IlNvbHIifQ.SWCJDd6B_m7xr_puQH-wgbxvXyJYXH9lTpldOU0eQKc

Answer 1

jwt.io 上的secret base64 encoded 的含义实际上是，它将您提供的秘密视为base64encoded，因此在实际使用之前首先对其进行解码。重点不是创造任何不同的东西，而只是在编码时解码秘密。

很明显，您使用的秘密是未编码形式：

qwerty密码

当你对它进行 base64 编码时，例如。在https://www.base64encode.org/ 的帮助下，您可以将其作为 base64 编码 值：

cXdlcnR5cGFzc3dvcmQ=

在jwt.io 上，您可以同时使用这两种形式：

• 第一个，未编码带有base64 encoded secret 复选框未选中

  或

• 第二个，base64 编码，其中复选框已选中。

在这两种情况下，您都会得到相同的结果。

对于您的 java 代码，在使用它进行签名之前，需要一个额外的步骤来解码编码的秘密：

import java.util.Base64;

String base64EncodedSecret = "cXdlcnR5cGFzc3dvcmQ=";
byte[] decodedSecret = Base64.getDecoder().decode(base64EncodedSecret);

然后，当您创建 JWT 时，您使用解码后的密钥：

.signWith(SignatureAlgorithm.HS256, decodedSecret)

但这只是必要的，如果您出于某种原因以编码形式获得秘密。

Answer 2

根据 JPS 反馈，这是适用于我的解决方案的代码

import io.jsonwebtoken.SignatureAlgorithm;    
import io.jsonwebtoken.Jwts;
import java.util.Base64;


public class JWT {

    public static void main(String[] args) {
        try {
            String secretkey="qwertypassword";
            byte[] decodedSecret = Base64.getDecoder().decode(secretkey);

            //The JWT signature algorithm we will be using to sign the token
            String jwtToken = Jwts.builder()
                .setSubject("admin")
                .setAudience("Solr")
                .signWith(SignatureAlgorithm.HS256,decodedSecret).compact();

            System.out.println("jwtToken=");
            System.out.println(jwtToken);
        } catch (Exception e)
        {
            System.out.println(e.getMessage());
        }
    }
}

JWT 键的值是预期的

eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJhZG1pbiIsImF1ZCI6IlNvbHIifQ.SWCJDd6B_m7xr_puQH-wgbxvXyJYXH9lTpldOU0eQKc

那个网站 https://jwt.io/#debugger-io?token=eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJhZG1pbiIsImF1ZCI6IlNvbHIifQ.5T7L_L1MPfQ_5FjKGa1fTPqrzwK4bNSM812nW6oyjb8

生产。