jjwt生成jwt token

最新推荐文章于 2024-09-30 17:45:03 发布
最新推荐文章于 2024-09-30 17:45:03 发布
阅读量5.6k 收藏 24
点赞数 12
CC 4.0 BY-SA版权
分类专栏: JAVA 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/lzx5290/article/details/124720299
这篇博客讲述了在从jjwt 0.9.0升级到0.11.2版本时遇到的问题,包括签名算法不匹配、密钥长度不足和序列化实现缺失。解决方案包括将签名算法从AES更改为HmacSHA256,确保密钥长度大于256位,并引入jjwt-gson依赖以解决序列化问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

JJWT生成token

最近在一个项目中不经意间升级了jjwt的版本(0.9.0升级到0.11.2),随之遇到了一些问题。主要问题如下:

  • The signing key’s algorithm ‘AES’ does not equal a valid HmacSHA* algorithm name and cannot be used with HS256.
  • The signing key’s size is 16 bits which is not secure enough for the HS256 algorithm. The JWT JWA Specification (RFC 7518, Section 3.2) states that keys used with HS256 MUST have a size >= 256 bits (the key size must be greater than or equal to the hash output size). Consider using the io.jsonwebtoken.security.Keys class’s ‘secretKeyFor(SignatureAlgorithm.HS256)’ method to create a key guaranteed to be secure enough for HS256. See https://tools.ietf.org/html/rfc7518#section-3.2 for more information.
  • Unable to find an implementation for interface io.jsonwebtoken.io.Serializer using java.util.ServiceLoader. Ensure you include a backing implementation .jar in the classpath, for example jjwt-impl.jar, or your own .jar for custom implementations.

jjwt 0.9.0版本

package com.example;

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import io.jsonwebtoken.impl.DefaultClaims;
import org.apache.commons.codec.binary.Base64;

import javax.crypto.SecretKey;
import javax.crypto.spec.SecretKeySpec;
import java.io.IOException;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;

public class JwtTest {

    /**
     * 生成SecretKey
     * @param secret
     * @return
     */
    private static SecretKey generateKey(String secret) {
        byte[] encodedKey = Base64.decodeBase64(secret);
        return new SecretKeySpec(encodedKey, 0, encodedKey.length, "AES");
    }

    /**
     * 新生成token
     *
     * @param clientId
     * @param exp
     * @return
     * @throws IOException
     */
    public static String createToken(String clientId, Long exp) throws IOException {
        Claims claims = new DefaultClaims();

        // milliseconds是毫秒  1000毫秒=1秒
        long expVal = System.currentTimeMillis() + exp*1000;

        claims.setExpiration(new Date(expVal));

        try {
            claims.setSubject(clientId);
        } catch (Exception e) {
            e.printStackTrace();
        }

        String compactJws = Jwts.builder()
                .setClaims(claims)
                .signWith(SignatureAlgorithm.HS256, generateKey("jinan_20220511"))
                .compact();

        return compactJws;
    }

    public static void main( String[] args )
    {
        try {
            String token = createToken("18605318888", 15*24*60*60L);
            System.out.println(token);
        } catch (IOException e) {
            e.printStackTrace();
        }
    }

}

jjwt0.11.2版本

package com.example;

import com.google.gson.Gson;
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import io.jsonwebtoken.gson.io.GsonSerializer;
import io.jsonwebtoken.impl.DefaultClaims;
import org.apache.commons.codec.binary.Base64;

import javax.crypto.SecretKey;
import javax.crypto.spec.SecretKeySpec;
import java.io.IOException;
import java.util.Date;

public class JwtTest11 {

    /**
     * 生成SecretKey
     * @param secret
     * @return
     */
    private static SecretKey generateKey(String secret) {
        byte[] encodedKey = Base64.decodeBase64(secret);
        return new SecretKeySpec(encodedKey, 0, encodedKey.length, "HmacSHA256");
    }

    /**
     * 新生成token
     *
     * @param clientId
     * @param exp
     * @return
     * @throws IOException
     */
    public static String createToken(String clientId, Long exp) throws IOException {
        Claims claims = new DefaultClaims();

        // milliseconds是毫秒  1000毫秒=1秒
        long expVal = System.currentTimeMillis() + exp*1000;

        claims.setExpiration(new Date(expVal));

        try {
            claims.setSubject(clientId);
        } catch (Exception e) {
            e.printStackTrace();
        }

        String compactJws = Jwts.builder()
                .setClaims(claims)
                .signWith(generateKey("jinan_20220511jinan_20220511jinan_20220511jinan_20220511"), SignatureAlgorithm.HS256)
                .serializeToJsonWith(new GsonSerializer<>(new Gson()))
                .compact();

        return compactJws;
    }

    public static void main( String[] args )
    {
        try {
            String token = createToken("18605318888", 15*24*60*60L);
            System.out.println(token);
        } catch (IOException e) {
            e.printStackTrace();
        }
    }

}

版本区别

第一个问题

The signing key’s algorithm ‘AES’ does not equal a valid HmacSHA* algorithm name and cannot be used with HS256

    // jjwt 0.9.0版本
    private static SecretKey generateKey(String secret) {
        byte[] encodedKey = Base64.decodeBase64(secret);
        return new SecretKeySpec(encodedKey, 0, encodedKey.length, "AES");
    }
    // jjwt 0.11.2版本
    private static SecretKey generateKey(String secret) {
        byte[] encodedKey = Base64.decodeBase64(secret);
        return new SecretKeySpec(encodedKey, 0, encodedKey.length, "HmacSHA256");
    }

AES改为HmacSHA256

第二个问题

The signing key’s size is 16 bits which is not secure enough for the HS256 algorithm.

// jjwt 0.9版本
String compactJws = Jwts.builder()
                .setClaims(claims)
                .signWith(SignatureAlgorithm.HS256, generateKey("jinan_20220511"))
                .compact();
// jjwt 0.11.2版本
String compactJws = Jwts.builder()
                .setClaims(claims)
                .signWith(generateKey("jinan_20220511jinan_20220511jinan_20220511jinan_20220511"), SignatureAlgorithm.HS256)
                .serializeToJsonWith(new GsonSerializer<>(new Gson()))
                .compact();

密钥位数不够,必须大于256位,一个字符按照8位算,至少32个字符。

第三个问题

Unable to find an implementation for interface io.jsonwebtoken.io.Serializer using java.util.ServiceLoader.
代码参考第二个问题。

没找到序列化的实现,添加序列化相关依赖和代码。

    <dependency>
        <groupId>io.jsonwebtoken</groupId>
        <artifactId>jjwt-gson</artifactId>
        <version>0.11.2</version>
    </dependency>

String compactJws = Jwts.builder()
                .setClaims(claims)
                .signWith(generateKey("jinan_20220511jinan_20220511jinan_20220511jinan_20220511"), SignatureAlgorithm.HS256)
                // 添加序列化相关
                .serializeToJsonWith(new GsonSerializer<>(new Gson()))
                .compact();
jjwt -- Token 生成解析技术指南
qq_35201802的博客
02-06 1334
引言JWT(JSON Web Token)是一种基于JSON的、用于双方之间安全传输信息的简洁的、URL安全的令牌标准。在现代Web应用程序中,JWT作为一种高效且安全的认证机制,被广泛应用于用户身份验证和信息交换场景。本文旨在详细介绍JWT Token生成与解析过程,为开发者提供一份专业的技术参考。JJWT简介JJWT是一个开源的Java库,专门用于处理JSON Web Tokens(JWT)。JWT是一种基于JSON的、用于双方之间安全传输信息的简洁的、URL安全的令牌标准(RFC 7519)
创建RSA 秘钥和私钥生成jwt token
qingcyb的博客
05-19 1182
/ KeyPairGenerator类用于生成公钥和私钥对,基于RSA算法生成对象。// 生成一个密钥对,保存在keyPair中。// 将字符串Base64解码。// 创建x509证书封装类。// 初始化密钥对生成器。* 通过私钥获取token。2、生成公私钥,私钥生成token。* token过期时间。
登录校验-JWT令牌-生成和校验
weixin_64939936的博客
08-26 511
【代码】登录校验-JWT令牌-生成和校验。
Spring-kob报错Unable to find an implementation for interface io.jsonwebtoken.io.Serializer using
m0_72735063的博客
12-25 1021
增加依赖就可以了。
十五、springboot集成jwt:0.11.1
weixin_41996632的博客
10-12 1846
一、gradle引入依赖 // jjwt implementation 'io.jsonwebtoken:jjwt-api:0.11.1' runtimeOnly 'io.jsonwebtoken:jjwt-impl:0.11.1' runtimeOnly 'io.jsonwebtoken:jjwt-jackson:0.11.1' 二、JwtTokenUtil...
signing key‘s algorithm ‘AES‘ does not equal a valid HmacSHA
你当像鸟飞往你的山~~
05-28 4136
The signing key’s algorithm ‘AES’ does not equal a valid HmacSHA* algorithm name and cannot be used 笔者出现如题问题是因为老项目切换时,创建jwt token报此错误,以前的项目是正常的,猜想是项目切换后版本问题 解决方法:修改为HmacSHA256 key =new SecretKeySpec(encodedKey, 0, encodedKey.length, "HmacSHA256"); .
io.jsonwebtoken.impl.lang.UnavailableImplementationException: Unable to find an implementation for
Knight_NOOB的博客
09-21 2268
io.jsonwebtoken.impl.lang.UnavailableImplementationException
JWT Token生成及验证(源码)
04-12
这个"JWT Token生成及验证(源码)"的压缩包文件可能包含了一个示例项目,用于演示如何生成和验证JWT令牌。让我们深入探讨JWT的工作原理以及相关的关键知识点。 1. JWT结构: JWT令牌由三部分组成,用点(.)分隔:...
Java Token登录验证 使用jjwt生成和解析JWT
优快云_KONGlX的博客
11-16 2089
参考 JSON Web Tokens官网Libraries里有各种语言的推荐包jjwt的Github网址JWT官网里面star最多的,所以用了jjwt官方 生成和解析的例子前后端分离之JWT用户认证对JWT有详细的介绍Java安全验证之JWT实践 依赖 流程 登录成功后,在Java生成Jwt,存入数据库,然后返回给前端;前端接收到Jwt,储存起来(cookie或localStorag...
JWT-生成token
m0_69128892的博客
05-11 7259
一、什么是JWT JWT 即Json Web Token,将用户登录态以及数据用加密的json格式存储在客户端,服务端可以完全依靠这个字符串认定用户身份。简单来说,这是一种用户身份认证的解决方案。 二、JWT的组成 一个JWT实际上就是一个字符串,由三部分组成分别是: header(头部) payload(载荷) signature(签名) 结构如下:header.payload.signature 1.header(头部) header(头部)的信息指定了其Token类型和所使用的加密算法。 示例:
jjwt的0.7.0版本的配套jar包
06-21
jjwt的0.7.0版本的配套jar包
Java基础之《JWT使用》
csj50的专栏
11-07 4012
1、Json web token (JWT) 的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。也可以增加一些额外的其他业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。传统的token,例如:用户登录成功生成对应的令牌,key为令牌,value为userid,隐藏了数据真实性,同时将该token存放到redis中,返回对应的真实令牌给客户端存放。4、为什么不再用session id。session缺点,集群无法共享。3、传统的token
The signing key‘s size is 136 bits which is not secure enough for the HS256 algorithm. The JWT JWA S
qq_39967911的博客
02-07 3815
今天在用JWT的时候发现报了这个错误 Whitelabel Error Page This application has no explicit mapping for /error, so you are seeing this as a fallback. Sun Feb 07 15:30:44 CST 2021 There was an unexpected error (type=Internal Server Error, status=500). The signing key's
JWT设置密钥长度
热门推荐
在这个充满危险的乱世之中,只有学会烤鸡才能顽强的活下去。
11-16 1万+
一、问题描述 我需要用调用这个系统本来就有的鉴权代码,然后让用户进行登录,但是在走JWT自动创建Token的时候,就开始报错了。报错信息如下: io.jsonwebtoken.security.WeakKeyException: The signing key's size is 40 bits which is not secure enough for the HS256 algorithm. The JWT JWA Specification (RFC 7518, Section 3.2..
JWT 令牌生成报错
weixin_64178283的博客
09-30 1640
io.jsonwebtoken.security.WeakKeyException: The signing key's size is 64 bits which is not secure enough for the HS256 algorithm.
最新版 JJWT:0.12.3 版本使用案例
bigqiangwu的博客
11-29 3441
最新版 JJWT:0.12.3 版本使用案例
Caused by: io.jsonwebtoken.security.WeakKeyException: The specified key byte array is 224 bits which
拒绝躺平,适当内卷
06-10 2611
Caused by: io.jsonwebtoken.security.WeakKeyException: The specified key byte array is 224 bits which is not secure enough for any JWT HMAC-SHA algorithm. The JWT JWA Specification (RFC 7518, Section 3.2) states that keys used with HMAC-SHA algorithms MUST.
最新JJWT 0.12.6学习
weixin_43443913的博客
07-16 4741
JJWTJava JWT)是Java平台上相当流行的用于生成Json Web Token的库,其更新速度非常快,导致网上许多教程在如今看来都已经过时。本文将对最新的JJWT官方github页进行中文解释,力求做到与官方同步。payload有效负载,是JWT中的主要数据,可以是你想要的任何数据。header标头。具有 名称/值 对的JSON对象,表示有关有效负载和消息本身的元数据。
关于SpringBoot2.x集成SpringSecurity+JJWT(0.7.0-->0.11.5)生成Token登录鉴权的问题
eternally_zh128@sina.com的博客
10-12 732
The signing key's size is 24 bits which is not secure enough for the HS512 algorithm. The JWT JWA Specification (RFC 7518, Section 3.2) states that keys used with HS512 MUST have a size >= 512 bits (the key size must be greater than or equal to the hash o
jjwt生成token
最新发布
01-24
### 如何使用 JJWT 生成 JWT Token 为了创建 JWT Token,在 Java 中通常会依赖 `JJWT` 库来简化这一过程。下面展示了一个简单的例子,说明如何通过指定密钥和载荷数据(payload data)来构建并签署一个新的 JWT。 #### 添加 Maven 依赖项 首先需要确保项目中包含了 jjwt 的库文件。对于基于 Maven 构建的工程来说,可以在 pom.xml 文件里加入如下配置: ```xml <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-api</artifactId> <version>0.11.2</version> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-impl</artifactId> <version>0.11.2</version> <scope>runtime</scope> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-jackson</artifactId> <!-- or jjwt-gson if Gson is preferred --> <version>0.11.2</version> <scope>runtime</scope> </dependency> ``` 注意这里版本号可能随时间更新而变化,请查阅最新文档确认最合适的版本[^4]。 #### 创建 JWT 实例代码 接下来定义一个用于生成令牌的方法,并设置必要的参数如过期时间和签名算法等: ```java import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; public class JwtUtil { private static final String SECRET_KEY = "yourSecretKey"; // 密钥应更复杂且安全存储 public static String createJWT(String subject) { long nowMillis = System.currentTimeMillis(); Date now = new Date(nowMillis); // 设置有效期限为一小时之后 Calendar calendar = Calendar.getInstance(); calendar.setTime(now); calendar.add(Calendar.HOUR_OF_DAY, 1); return Jwts.builder() .setSubject(subject) .setIssuedAt(now) .setExpiration(calendar.getTime()) .signWith(SignatureAlgorithm.HS256, SECRET_KEY.getBytes()) // 使用HMAC SHA-256 加密方式 .compact(); } } ``` 上述代码片段展示了怎样利用 `Jwts.Builder()` 方法链式调用来组装 JSON Web Tokens (JWTs),其中设置了主题 (`subject`) 和有效期 (`expiration time`) ,并通过 HMACSHA256 对其进行了数字签名以保障安全性[^1]。
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Jinwen5290

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值