11

我在我的应用程序中使用 JWT 进行登录身份验证过程。要生成我正在使用的令牌:

Jwts.builder().setSubject(username).signWith(SignatureAlgorithm.HS512, MacProvider.generateKey()).compact();

生成的令牌:

eyJhbGciOiJIUzUxMiJ9.eyJzdWIiOiJlaG91c2VAZGV2ZXJldXgub3JnIn0.5SX-aU-p_RlfC3CZa-YXnQu_YR7RsG2Xfim3LOmlqxjAZrIyZiz0fYZwViHr113ms8TNvngcJcV07U4hK-RBZQ

当我在 jwt.io 调试器中解码这个令牌时,它告诉我一个无效的签名。我无法找到此失败的原因,因为我可以在我用来进行身份验证的有效负载中看到用户名。有人可以指出我的问题吗?我需要更改代码中的任何内容吗?

4

1 回答 1

11

MacProvider.generateKey()每次使用它时都会生成一个新的随机签名您的密钥。您需要生成一次并存储它。密钥用于签署和验证令牌。

如果您不存储密钥,您将无法验证令牌,这正是 jwt.io 的问题。您必须提供签名密钥。在您的情况下,使用可以包含不可表示字符的随机密钥(也可以使用密码,但不推荐),将其编码为 base64。然后在 jwt.io 中标记检查以验证令牌

Key key =MacProvider.generateKey();
String keyB64 = javax.xml.DataTypeConverter.printBase64Binary(key.getEncoded());
于 2017-10-05T06:12:15.893 回答