2

我正在使用这样的 JJWT 库生成令牌 -

    final String issuer = "my-app-auth-server@my-app-797ab.iam.gserviceaccount.com";
    final String sub = "my-app-auth-server@my-app-797ab.iam.gserviceaccount.com";
    final String aud = "https://identitytoolkit.googleapis.com/google.identity.identitytoolkit.v1.IdentityToolkit";
    final String secret = "my-secret-key"   //only demo key , not real secret key that i am using



    final long iat = System.currentTimeMillis() / 1000L; // issued at claim
    final long exp = iat + 60L; // expires claim. In this case the token expires in 60 seconds

    final String jwtString = Jwts.builder()
                .claim("alg","HS256")
                .claim("iss", issuer)
                .claim("aud",aud)
                .claim("iat", iat)
                .claim("exp", exp)
                .claim("uid",number)
                .setSubject(sub)
                .signWith(SignatureAlgorithm.HS256, secret)
                .compact();

我使用的密钥(“my-secret-key”)由 Firebase 生成,如此处所述

但是当我使用上面生成的令牌登录 Firebase 时出现此错误 -

com.google.firebase.auth.FirebaseAuthInvalidCredentialsException: The custom token format is incorrect. Please check the documentation.
                                                                         at com.google.android.gms.internal.zzafd.zzes(Unknown Source)
                                                                         at com.google.android.gms.internal.zzafa$zzg.zza(Unknown Source)
                                                                         at com.google.android.gms.internal.zzafl.zzet(Unknown Source)
                                                                         at com.google.android.gms.internal.zzafl$zza.onFailure(Unknown Source)
                                                                         at com.google.android.gms.internal.zzafg$zza.onTransact(Unknown Source)
                                                                         at android.os.Binder.execTransact(Binder.java:367)
                                                                         at dalvik.system.NativeStart.run(Native Method)

这就是它的解码方式 -

在此处输入图像描述

请帮助,在此先感谢。

4

3 回答 3

1

my-secret-key不是有效的 Base64 字符串。请阅读该signWith(SignatureAlgorithm, String)方法的 JavaDoc:

/**
 * Signs the constructed JWT using the specified algorithm with the
 * specified key, producing a JWS.
 *
 * <p>This is a convenience method: the string argument is first
 * BASE64-decoded to a byte array and this resulting byte array is 
 * used to invoke {@link #signWith(SignatureAlgorithm, byte[])}.</p>
 *
 * @param alg the JWS algorithm to use to digitally sign the JWT, 
 *            thereby producing a JWS.
 * @param base64EncodedSecretKey the BASE64-encoded algorithm-specific 
 *        signing key to use to digitally sign the JWT.
 * @return the builder for method chaining.
 */
JwtBuilder signWith(SignatureAlgorithm alg, String base64EncodedSecretKey);

加密签名始终使用字节数组密钥计算 - 从不使用字符串。例如,您可以获得字符串的 UTF-8 字节"my-secret-key".getBytes("UTF-8");,但这只会掩盖可能是一个非常有问题的加密弱点。

理想情况下,数字签名密钥(同样是字节数组)不应基于简单的字符串,如“我的秘密”或“我的密码”。或者,至少,如果一个简单的密码应该用作签名密钥,最好通过密钥派生算法(如 PBKDF2)发送它,然后使用生成的输出作为签名密钥。这确保了足够的加密熵(随机性),而人类可读的短字符串则没有(因此有风险)。

理想情况下,签名密钥应始终为:

  1. 由安全随机数生成器生成或至少通过加密安全密钥派生函数生成,并且
  2. 这很重要——对于要使用的散列算法有足够的长度。

第 2 点是 JJWT 提供该MacProvider.generateKey方法的原因 - 以确保您始终拥有所选算法的足够强度的密钥。然后,您可以轻松地对结果进行 base64:

SecretKey key = MacProvider.generateKey(SignatureAlgorithm.HS256);
String base64Encoded = TextCodec.BASE64.encode(key.getEncoded());

这就是 JJWT 默认使用 Base64 的原因——因为如果您执行这些最佳实践,您将始终得到一个字节数组键(例如 key.getEncoded())。如果您有一个字节数组键,将其转换为字符串(例如用于配置)的最常见方法是对该字节数组进行 Base64 编码。

最后,请注意,TextCodec.BASE64.decode(myKey)它不会产生与myKey.getBytes('UTF-8'). 后者在加密上下文中通常是不正确的。

这意味着 my-secret-token-to-change-in-production.getBytes("UTF-8") 可能代表弱化的签名密钥,因此不应使用。我建议转储当前密钥并生成一个具有强大加密保证的新密钥,如上所示(例如使用 JJWT)并确保您的 Node 库 base64 正确解码您的字符串。

所以,一旦你有一个安全的随机生成的字节数组和 Base64,然后检查上面工具中的“秘密 base64 编码”复选框,它应该适合你。

于 2016-10-07T22:44:46.307 回答
1

由于您是在 Java 中铸造令牌,因此您可以使用内置令牌铸造的官方 Firebase Java SDK。按照此处的说明和代码示例开始创建自定义令牌。

我认为您的主要问题是您正在使用 HS256 加密创建令牌,但 Firebase 需要 RS256,如此所述。但是如果你使用官方库,它会为你处理所有这些。

于 2016-10-10T21:13:56.497 回答
0

我在使用 PHP JWT 生成器库时遇到了类似的问题,解决方案是使用iat有效负载参数。与谷歌的服务器相比,我的服务器在未来几秒钟(错误消息从未告诉我......)。

我刚刚在iat5 分钟前定义了有效载荷参数,然后就成功了。

希望这会有所帮助。

于 2017-03-05T11:18:01.243 回答