JWT_KEY的长度有限制

原创 已于 2022-06-18 16:15:55 修改 · 1.9k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring security

于 2022-06-18 15:29:21 首次发布
博客讨论了在使用JwtUtil生成JWT时遇到的问题,即JWT_KEY长度为9个字母时会导致错误`Lastunitdoesnothaveenoughvalidbits`。问题源于Base64解码过程中字符串长度不匹配。解决方案是确保JWT_KEY为Base64编码后的字符串,以避免解码错误。这样做可能影响加密的安全性。

最近在使用JwtUtil的过程中发现一个怪现象:

JWT_KEY的长度不能是9个字母;如果设置成9个字母就会在生成token的预后报错:

Last unit does not have enough valid bits

多于或者少于9个字母都行。

哪位大侠知道原因?

目前发现的原因是:

    public static SecretKey generalKey() {
        byte[] encodedKey = Base64.getDecoder().decode(JwtUtil.JWT_KEY);
        SecretKey key = new SecretKeySpec(encodedKey, 0, encodedKey.length, "AES");
        return key;
    }

创建token的时候有一个解码过程,所以字符串长度不对肯定会出错。所以增加一个编码过程就好。

解决方案:

    static String authorInfo = "Chuyun527";
    static String base64Info = Base64.getEncoder().encodeToString(authorInfo.getBytes());
    public static final String JWT_KEY = base64Info;

不过,不知道这样做会不会影响加密?

JWT - 令牌认证(认证流程和原理、Jwt 工具类、搭配 Redis 使用)
CYK_byte的博客
10-13 2万+
1. 首先前端将用户名和密码发送给后端,后端对用户名和密码校验成功后,会将用户 id 和其他信息作为 payload ,然后将其分别进行 Base64 编码,拼接,最后再签名,形成一个 JWT(Token). 形成的 JWT 就形同 xxx.yyy.zzz 这种结构的字符串.http 协议是一种无状态的协议,也就意味着当用户第一次通过用户名和密码登录成功以后,下一次再请求的时候,用户还需要再进行登录才行,因为根据 http 协议,我们不能知道是哪个用户发出的请求.
【Golang】Gin框架中如何使用JWT来实现登录认证
热门推荐
景天科技苑
11-01 5万+
JWT: JSON Web Token,是一种用于身份验证和授权的开放标准,JWT可以在网络应用间安全的传输。JWT由三个部分组成:头部(Header)、载荷(Payload)和签名(Signature) JWT具有可扩展性、简单、轻量级、跨语言等优点,是前后端分离框架中最常用的验证方式。
JWT实现原理,php实现JWT实例
HCC的博客
05-15 977
JWT描述 JWT 全程(json web token) JWT 就是一个字符串,经过加密处理与校对处理的字符串 JWT 由header(头部),payload(主体),signature(签名)三部分组成 JWT 组成形式 base64UrlHeader.base64UrlPayload.base64Url(hash(base64UrlHeader.base64UrlPayload)) 生成: header组成 { "typ":"JWT", "alg":"HS256" } alg:加密算法 t
php-jwt源码分析:Key类的设计与实现细节
最新发布
gitblog_00898的博客
09-17 544
JSON Web Token(JWT)作为跨域认证的重要标准,其安全性依赖于密钥管理的严谨性。在php-jwt库中,`Key`类承担着密钥材料(Key Material)与算法绑定的关键职责,是保障令牌验证过程安全可靠的基础组件。本文将从设计理念、实现细节和应用场景三个维度,深入剖析`Key`类如何构建JWT验证的信任根基。 ## 类结构解析:简洁而严谨的设计哲学 ### 类定义与核心属性 ...
记-JWT 认证接口性能调优
搬山境KL攻城狮的修炼手册
10-25 1354
记-JWT 认证接口性能调优 文章目录记-JWT 认证接口性能调优一、前言1.服务器2.工具2.描述二、问题排查1.加密2.匹配3.示例程序4.总结三、解决办法 一、前言 1.服务器 4核16G 2.工具 工具 用途 jmeter 压力测试工具 arthas 阿里开源的Java诊断工具 2.描述 使用jmeter压测jwt认证接口时发现,服务器CPU占用特别高,TPS总是上不去仅有50 tps 二、问题排查 使用arthas 诊断工具连续打印CPU使用率高的线程堆栈,发现该
jwt token长度限制_(建议收藏) | Spring Boot集成JSON Web Token(JWT
weixin_39807896的博客
11-21 1万+
一:认证在了解JWT之前先来回顾一下传统session认证和基于token认证。1.1 传统session认证http协议是一种无状态协议,即浏览器发送请求到服务器,服务器是不知道这个请求是哪个用户发来的。为了让服务器知道请求是哪个用户发来的,需要让用户提供用户名和密码来进行认证。当浏览器第一次访问服务器(假设是登录接口),服务器验证用户名和密码之后,服务器会生成一个sessionid(只有第一次...
Jwt密钥长度问题
labrums的博客
11-21 2493
JWT密钥长度问题
Python JWT原理机制
Lamb的博客
08-23 328
【代码】Python JWT原理机制。
public class JwtV0126Example { // 使用新版API生成密钥 private static final String SECRET_STR = "dZUPnA6iucvhpf8bVkdQkQhsN30XOHDDU3G5YFT5ulqeQnAefayH3HK9Jeedj6E0bBi4nrnm4EIXZXZdOcjWAg=="; // 256位(32字符) private static final SecretKey SECRET_KEY = Keys.hmacShaKeyFor(SECRET_STR.getBytes(StandardCharsets.UTF_8)); // 验证Token public static boolean validateToken(String token) { try { Jws<Claims> jws = Jwts.parser() .verifyWith(SECRET_KEY) // 新版验证方法 .build() .parseSignedClaims(token); // 新版解析方法 Claims claims = jws.getPayload(); Date expiration = claims.getExpiration(); Date now = new Date(); // 检查token是否过期 if (expiration.before(now)) { throw new BaseException(ErrorMsg.LOGIN_EXPIRE.getCode(),ErrorMsg.LOGIN_EXPIRE.getMsg()); } // 可以添加其他自定义验证逻辑,如检查用户状态等 return true; } catch (JwtException e) { // token无效,如签名不匹配、格式错误等 throw new BaseException(ErrorMsg.NOT_JWT_LOGIN_INFO.getCode(),ErrorMsg.NOT_JWT_LOGIN_INFO.getMsg()); } } /** * 生成JWT令牌(使用0.12.6 API) */ public static String generateJwt(String username, String userInfo) { Map<String, Object> claims = new HashMap<>(); claims.put("userInfo", userInfo); // 使用新版API设置有效期 Instant now = Instant.now(); return Jwts.builder() .claims(claims) // 设置声明(新版API) .subject(username) .issuedAt(Date.from(now)) .expiration(Date.from(now.plus(1, ChronoUnit.HOURS))) // 1小时有效期 .signWith(SECRET_KEY, Jwts.SIG.HS256) // 新版签名方法 .compact(); } /** * 验证并解析JWT(使用0.12.6 API) */ public static void verifyAndParseJwt(String jwt) { try { Jws<Claims> claimsJws = Jwts.parser() .verifyWith(SECRET_KEY) // 新版验证方法 .build() .parseSignedClaims(jwt); // 新版解析方法 Claims claims = claimsJws.getPayload(); System.out.println("用户: " + claims.getSubject()); System.out.println("用户信息: " + claims.get("userInfo")); System.out.println("签发时间: " + claims.getIssuedAt()); System.out.println("过期时间: " + claims.getExpiration()); } catch (Exception e) { throw new BaseException(ErrorMsg.NOT_JWT_LOGIN_INFO.getCode(),ErrorMsg.NOT_JWT_LOGIN_INFO.getMsg()); } } //生成密钥字符串 public static String generateKey() { try { // 创建HMAC-SHA512密钥生成器 KeyGenerator keyGen = KeyGenerator.getInstance("HmacSHA512"); // 设置密钥长度为512位 keyGen.init(512); // 生成密钥 SecretKey secretKey = keyGen.generateKey(); // 获取Base64编码的密钥字符串 String base64Key = Base64.getEncoder().encodeToString(secretKey.getEncoded()); System.out.println("JWT密钥: " + base64Key); return base64Key; } catch (NoSuchAlgorithmException e) { throw new BaseException(ErrorMsg.GENERATE_JWT_KEY_FAIL.getMsg()); } } public static void main(String[] args) { JSONObject jsonObject = new JSONObject(); jsonObject.put("id", "1"); jsonObject.put("userName", "nmm"); jsonObject.put("role", "admin"); jsonObject.put("dept", "dept01"); // 1. 生成JWT String jwt = generateJwt(jsonObject.getString("id"), jsonObject.toJSONString()); // 2. 验证并解析JWT verifyAndParseJwt(jwt); if (validateToken(jwt)) { System.out.println("success"); } } } 帮我做一个延期
08-07
我们注意到用户提供的代码中,JWT的有效期设置为1小时。现在需要做一个延期操作,即延长JWT的有效期。 通常有两种做法: 1. 重新生成一个新的JWT(推荐):因为JWT一旦生成就是不可变的,所以延期实际上就是生成一...
【数据库与身份认证】MySQL学习、Session和JWT认证机制实现
zilin_taku的博客
09-21 574
JWT字符串解析还原成JSON对象。的传统 Web开发模式。的新型Web开发模式。
【漏洞挖掘】——52、 JWT攻防指南(下)
Fly_鹏程万里
06-07 449
Step 3:在这里我们选择重定向利用,通过扫描目录可以发现/vul/redirect API,直接访问会回显bad params,参数名我们是不知道的,所以需要fuzz API的参数,可以使用下面的字典得到参数endpoint=Step 1:访问5000端口返回JWS,可以看到里面的JKU指向http://localhost:5001/vuln/JWK。为了保证JWK服务器的可信,应用程序会对JKU的指向增加各种防护措施,比如对URL进行白名单过滤,想要攻击成功也并非容易的事。
jwt token长度限制_JWT与Session的比较
weixin_39612058的博客
12-03 6102
如今,越来越多的项目开始采用JWT作为认证授权机制,那么它和之前的Session究竟有什么区别呢?今天就让我们来了解一下。JWT是什么定义JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑和自包含的方式,用于在各方之间作为JSON对象安全地传输信息。作为标准,它没有提供技术实现,但是大部分的语言平台都有按照它规定的内容提供了自己的技术实现,所以实际在用的时候...
jwt 长度_细品JWT(Json web token)
weixin_39616686的博客
11-29 663
背景现在已经很多企业都是微服务化了,拥有用户中心,各个业务系统的用户信息通过网关都去调用用户中心获取用户信息,这个一个过程是怎么的呢?使用到了什么技术栈呢?其中之一那就是Json web token(JWT)?JWT的介绍1. JSON Web Token(JWT)是什么?WT作为一个开放的标准(RFC 7519), 定义了一种简洁自包含的方法用于通信双方之间以Json对象的形式安全的传递信息。 ...
JWT设置密钥长度
在这个充满危险的乱世之中,只有学会烤鸡才能顽强的活下去。
11-16 1万+
一、问题描述 我需要用调用这个系统本来就有的鉴权代码,然后让用户进行登录,但是在走JWT自动创建Token的时候,就开始报错了。报错信息如下: io.jsonwebtoken.security.WeakKeyException: The signing key's size is 40 bits which is not secure enough for the HS256 algorithm. The JWT JWA Specification (RFC 7518, Section 3.2..
JWT_token
weixin_33958366的博客
07-01 180
什么是JWT Json web token(JWT)是为了网络应用环境间传递声明而执行的一种基于JSON的开发标准(RFC 7519),该token被设计为紧凑且安全的,特别适用于分布式站点的单点登陆(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被...
jwt有公钥私钥吗
m0_57236802的博客
03-26 1303
是的,JSON Web Tokens (JWT) 在使用RS256(RSA Signature with SHA-256)这类基于RSA的签名算法时,会涉及到公钥和私钥。JWT也可以使用对称密钥(如HS256 - HMAC with SHA-256)进行签名,但在这种情况下,只使用一个密钥来签名和验证,这个密钥在发送者和接收者之间共享。
Jwt授权的密钥要求
weixin_30505485的博客
05-17 4867
SecurityKey长度必须 大于大于大于 16个字符 转载于:https://www.cnblogs.com/Anthony518/p/10882929.html
jwt生成令牌密钥过短
2301_79890135的博客
05-22 486
你正在使用 HS512 算法对 JWT 进行签名或解析,但使用的密钥长度只有 56位(7字节),这远低于 RFC 7518 标准要求的 至少 512 位(64 字节)。该方法会生成一个 512 位(64 字节) 的随机密钥,适用于 HS512 签名算法。这是 一个安全性限制JWT 库为了防止使用弱密钥导致的安全隐患,主动抛出了异常。正确做法:生成符合 HS512 要求的密钥。
jwt token长度_如何使用JWTSpring Security保护REST API,你会多少?
weixin_39805720的博客
11-21 669
通常情况下,把API直接暴露出去是风险很大的,不说别的,直接被机器攻击就喝一壶的。那么一般来说,对API要划分出一定的权限级别,然后做一个用户的鉴权,依据鉴权结果给予用户开放对应的API。目前,比较主流的方案有几种:用户名和密码鉴权,使用Session保存用户鉴权结果。使用OAuth进行鉴权(其实OAuth也是一种基于Token的鉴权,只是没有规定Token的生成方式)自行采用Token进行鉴权第...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值