JWT使用踩坑

最新推荐文章于 2025-04-12 05:00:00 发布
最新推荐文章于 2025-04-12 05:00:00 发布
阅读量981 收藏 4
点赞数 7
文章标签: spring boot java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_38633763/article/details/143805647
版权

问题背景

在使用SpringBoot做项目整合开发时,业务有需求,所以引入JWT来解决。但是在使用过程中发现了非常难搞的坑点。

坑点一

我是使用最新版本的jjwt,但导入时如果使用一个依赖,也就是如下:

<!-- https://mvnrepository.com/artifact/io.jsonwebtoken/jjwt-api -->
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-api</artifactId>
    <version>0.12.6</version>
</dependency>

那很不幸,JWT最新版本貌似直接弃用了parseClaimsJws(token)方法,控制台会给你一个无厘头的报错:

java: 找不到符号
  符号:   方法 parseClaimsJws(java.lang.String)
  位置: 接口 io.jsonwebtoken.JwtParserBuilder

于是我尝试了其他方法,发现是依赖冲突问题,高版本的SpringBoot在使用JWT时需要将上面的依赖替换为下面这三个:

<dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt-api</artifactId>
            <version>0.12.6</version>
        </dependency>
        <!-- https://mvnrepository.com/artifact/io.jsonwebtoken/jjwt-impl -->
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt-impl</artifactId>
            <version>0.12.6</version>
        </dependency>
        <!-- https://mvnrepository.com/artifact/io.jsonwebtoken/jjwt-jackson -->
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt-jackson</artifactId>
            <version>0.12.6</version>
        </dependency>

这下本以为没什么问题了,结果控制台还是报错:

java: 找不到符号
  符号:   方法 parseClaimsJws(java.lang.String)
  位置: 接口 io.jsonwebtoken.JwtParserBuilder

再次排查,还是从版本入手,将版本降低到0.11.5,问题终于解决。

坑点二

更令人摸不着头脑的是,最新版本的MyBatisPlus居然也不能完美契合这个版本的JWT,在最开始就需要找到能够和上述jwt契合的版本,我本来项目使用的版本是最新版本,即3.5.9,但是会报如下错误:

java: 无法访问com.baomidou.mybatisplus.extension.repository.IRepository
  找不到com.baomidou.mybatisplus.extension.repository.IRepository的类文件

于是只能降级尝试,之后发现只有使用如下版本,才能避免冲突:

<!-- https://mvnrepository.com/artifact/com.baomidou/mybatis-plus-spring-boot3-starter -->
        <dependency>
            <groupId>com.baomidou</groupId>
            <artifactId>mybatis-plus-spring-boot3-starter</artifactId>
            <version>3.5.7</version>
        </dependency>
        <dependency>
            <!-- https://mvnrepository.com/artifact/com.baomidou/mybatis-plus-extension -->
            <groupId>com.baomidou</groupId>
            <artifactId>mybatis-plus-extension</artifactId>
            <version>3.5.7</version>
        </dependency>

坑点三:

在配置好JWT依赖之后,我对jwt的初始化参数配置如下:

jwt:
  token:
    tokenExpiration: 120 #有效时间,单位分钟
    tokenSignKey: ThisIsASecret #当前程序签名秘钥 自定义

尝试运行测试代码,控制台又报错了:

io.jsonwebtoken.security.WeakKeyException: The signing key's size is 80 bits which is not secure enough for the HS512 algorithm.  The JWT JWA Specification (RFC 7518, Section 3.2) states that keys used with HS512 MUST have a size >= 512 bits (the key size must be greater than or equal to the hash output size).  Consider using the io.jsonwebtoken.security.Keys class's 'secretKeyFor(SignatureAlgorithm.HS512)' method to create a key guaranteed to be secure enough for HS512.  See https://tools.ietf.org/html/rfc7518#section-3.2 for more information.
at io.jsonwebtoken.SignatureAlgorithm.assertValid(SignatureAlgorithm.java:387)
	at io.jsonwebtoken.SignatureAlgorithm.assertValidSigningKey(SignatureAlgorithm.java:315)
	at io.jsonwebtoken.impl.DefaultJwtBuilder.signWith(DefaultJwtBuilder.java:112)
	at io.jsonwebtoken.impl.DefaultJwtBuilder.signWith(DefaultJwtBuilder.java:125)
	at io.jsonwebtoken.impl.DefaultJwtBuilder.signWith(DefaultJwtBuilder.java:133)
	at com.jinlei.utils.JwtHelper.createToken(JwtHelper.java:50)
	at com.jinlei.test.SpringBootTest.test(SpringBootTest.java:23)
	at java.base/java.lang.reflect.Method.invoke(Method.java:580)
	at java.base/java.util.ArrayList.forEach(ArrayList.java:1597)
	at java.base/java.util.ArrayList.forEach(ArrayList.java:1597)

根据报错信息提示,得知其原因是Key的数组位数不足。

于是进行各种尝试,最后使用了最笨的办法解决了该问题,修改配置文件中JWT的设置,将tokenSignKey:参数进行修改:

jwt:
  token:
    tokenExpiration: 120 #有效时间,单位分钟
    tokenSignKey: ThisIsASecretThisIsASecretThisIsASecretThisIsASecretThisIsASecretThisIsASecretThisIsAS

只要将其长度设置到满足sha512即可(没深入研究JWt中这个算法是将一个字符按照多少bits存储的,我的字符串一共86个字符,按照他的算法满足512位,85个字符是510位,那么每个字符应该是按照6位来处理的)。

总结

很多时候,一股脑地在逻辑代码里寻找错误并不一定是最优解决思路,有时候多查查文章才能豁然开朗。在使用第三方提供的功能时,一定要注意版本之间可能存在的依赖冲突。

清心歌
关注
SpringBoot】整合 MybatisPlus
weixin_42364929的博客
12-03 1721
1、log4j2 第一步,导入依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> <exclusions><!-- 去掉springboot默认配置 --> <exclusion>
程序包com.baomidou.mybatisplus.extension.activerecord存在java: 程序包com.baomidou.mybatisplus.annotation存在
qq_36856047的博客
10-20 4012
程序包com.baomidou.mybatisplus.extension.activerecord存在java: 程序包com.baomidou.mybatisplus.annotation存在
【微服务架构】SpringSecurity核心源码剖析+jwt+OAuth(十一):SpringSecurity基于JWT实现Token的处理
最新发布
专注上位机开发、机器视觉、机器学习、嵌入式软硬件开发
04-12 3万+
SpringSecurity中的认证是通过UsernamePasswordAuthenticationFilter来处理的,现在我们要通过JWT来处理,那么我们就需要重写其中几个处理的方法然后就是当客户端提交请求,我们需要拦截请求检查header头中是否携带了对应的Token信息,并检查是否合法。/*** 校验Token是否合法的Filter*/@Override//如果携带错误的token,则给用户提示请登录!resultMap.put("msg", "请登录!");
java: 程序包com.baomidou.mybatisplus.core.mapper存在
一个正在努力学习的iter
03-31 1万+
今天在学习MybatisPlus遇到了好多,总结两个常见 学习使用lombok包的时候,在import lombok.AllArgsConstructor带参数构造等情况下,出现如下报错 解决办法: 打开File----》setting,到如下图 如果运行,再出现 Failed to execute goal org.apache.maven.plugins:maven-surefire-plugin:2.22.1:test (default-test) on project preSpri
最新JJWT 0.12.6学习
weixin_43443913的博客
07-16 4324
JJWTJava JWT)是Java平台上相当流行的用于生成Json Web Token的库,其更新速度非常快,导致网上许多教程在如今看来都已经过时。本文将对最新的JJWT官方github页进行中文解释,力求做到与官方同步。payload有效负载,是JWT中的主要数据,可以是你想要的任何数据。header标头。具有 名称/值 对的JSON对象,表示有关有效负载和消息本身的元数据。
react前端axios使用jwt token依然401
OnTheway
04-07 1230
调试完成Django drf jwt授权后在前端使用token请求授权接口依然是401,没有直接处理完成,记录处理过程以便分析 请求与生成token供前端使用参见《前后端分离使用drf jwt的token鉴权》 准备 axios使用用户名与密码获取token 并存储在localstorage中 let user = 'testuser' let pass = 'testpassword' axios.post('http://localhost:8008/Plum/get
SpringSecurity+JWT配置与指南
"这是一份关于开发过程中遇到问题和解决方案的总结,主要涉及Spring Boot、Vue.js、Spring Security和JWT的配置与使用。" 在Spring Boot应用中,整合Spring Security和JWT进行身份验证时,需要注意几个关键点。首先...
django-restframwork-jwt中的
weixin_43667829的博客
08-22 974
jwt的配置 1.pip install djangorestframework-jwt 经过我的验证发现python3.6,django2.0环境下也能使用,官方文档应该是还未更新 django-restframwork的官方文档上使用的是pip install django-rest-framework-simplejwt,区别在于 jwt生成一个token,simplejwt生成一个acce...
基于FastAPI使用JWT技术实现的OAuth2用户认证接口
liupras的博客
12-01 1203
本文阐述了如何基于FastAPI框架实现OAuth2用户认证,其中使用哈希算法对密码进行了加密,使用JWT持有令牌。 附带完整的代码,避免大家再次
整理1
08-08
使用Spring Security和JWT进行身份验证时,你需要配置安全设置,确保请求包含正确的凭证。通常,这意味着要传递用户名、密码和角色这三个字段。你可以参考工程源码来了解具体的配置步骤。 2. **@Value注解**: ...
spring boot3.x结合spring security最新版实现jwt登录验证
09-02
spring boot3.x结合spring security最新版实现jwt登录验证
Mybatis报类
m0_47943986的博客
09-08 775
问题处理
Java基于jjwt操作jwt
静水深流
06-28 3120
之前讲解了jwt的相关知识,有了解的,可以查看相关的文章,本节再介绍,主要讲解有关java中如何通过库产生jwt以及解析jwt的相关操作。请注意,上述 JJWT 依赖关系声明只有一个编译时依赖关系,其余的都声明为运行时依赖关系。这是因为 JJWT 的设计使您只依赖于经过明确设计的 API,供您在应用程序中使用,而所有其他内部实现细节(可能会在没有警告的情况下发生变化)都被归类为仅在运行时依赖。如果您想确保长期稳定地使用和升级 JJWT,这一点极为重要。
程序包com.baomidou.mybatisplus.service/annotations/extension存在
l0oo0ng的博客
01-07 1061
在升级mybatisplus版本(大多数)时,或开发引入mybatisplus,以及对数据库表使用代码生成可能出现程序包com.baomidou.mybatisplus.service存在com.baomidou.mybatisplus.annotations存在或com.baomidou.mybatisplus.extension存在通常这3个应同时出现。
前端后端常见异常汇总
rapid2011的专栏
11-27 567
主要异常信息 Error creating bean with name 'dataSource'
解决springboot程序包com.baomidou.mybatisplus.core.mapper存在
庹小智的博客
03-23 7075
java项目打包成jar文件,打包时报错: 解决办法: 解决后,就正常编译打包了:
SpringBoot】【JWT】0.12.6版本(2025最新)的JWT令牌生成和校验
qq_46033586的博客
02-24 644
0.12.6版本(2025最新)的JWT令牌生成和校验。
实战指南:Spring Boot 3.x 与JJWT 0.9.x到0.12.5版本升级,使用HS256算法生成JWT
专注于深入研究多种编程语言,以实战为导向,逐步拓展开发技能,提升工程化编码和思维能力,展现无敌技术实力。
07-01 1347
本实战指南旨在帮助开发者在Spring Boot 3.x应用中,从JJWT 0.9.x升级至0.12.5版本,有效地实现JWT生成并使用HS256算法进行加密。通过详细的示例和指导,您将了解如何应对升级带来的变化,并优化JWT在安全认证中的应用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值