那些遇到过的问题

如何创建用于签署 JWT 令牌的 Spring 安全密钥?

cod*_*eme 5 spring-security spring-boot jjwt

implementation group: 'io.jsonwebtoken', name: 'jjwt-api', version: '0.10.6'用作依赖项。

我想创建一个 JWT 令牌,如下所示:

@Value("${jwt.token.secret}")
private Key secret;

JwtToken.builder().value(Jwts.builder()
                .setClaims(createClaims(account))
                .setSubject(subject.toString())
                .setIssuedAt(Date.from(createdDateTime))
                .setExpiration(Date.from(expirationDateTime))
                .signWith(secret)
                .compact()).expiration(expirationDateTime.toString()).build()
Run Code Online (Sandbox Code Playgroud)

我曾经在 中提供一个字符串application.properties并引用该键,如上所示,但不推荐使用字符串作为密钥。我应该如何创建密钥秘密?

Les*_*ood 6

您需要将密钥字符串转换为 JavaKey实例。

您的密钥字符串是 Base64 编码的吗?如果是这样,请执行以下操作:

@Value("${jwt.token.secret}")
private String secret;

private Key getSigningKey() {
  byte[] keyBytes = Decoders.BASE64.decode(this.secret);
  return Keys.hmacShaKeyFor(keyBytes);
}

JwtToken.builder().value(Jwts.builder()
                .setClaims(createClaims(account))
                .setSubject(subject.toString())
                .setIssuedAt(Date.from(createdDateTime))
                .setExpiration(Date.from(expirationDateTime))
                .signWith(getSigningKey())
                .compact()).expiration(expirationDateTime.toString()).build()
Run Code Online (Sandbox Code Playgroud)

如果您的密钥不是 base64 编码的(它可能应该是,因为例如,如果您使用原始密码,您的密钥可能不正确或格式不正确),您可以通过以下方式执行此操作:

private Key getSigningKey() {
  byte[] keyBytes = this.secret.getBytes(StandardCharsets.UTF_8);
  return Keys.hmacShaKeyFor(keyBytes);
}
Run Code Online (Sandbox Code Playgroud)

但是,通常不建议使用第二个示例,因为这可能意味着您的密钥格式不佳。格式良好的安全随机密钥不是人类可读的,因此要将其存储为字符串,密钥字节通常首先进行 base64 编码。

从文档https://github.com/jwtk/jjwt#jws-key-create

如果要生成足够强的 SecretKey 以用于 JWT HMAC-SHA 算法,请使用Keys.secretKeyFor(SignatureAlgorithm)辅助方法:

SecretKey key = Keys.secretKeyFor(SignatureAlgorithm.HS256); //or HS384 or HS512
Run Code Online (Sandbox Code Playgroud)

在幕后,JJWT 使用 JCA 提供程序的 KeyGenerator 为给定算法创建具有正确最小长度的安全随机密钥。

如果您有现有的 HMAC SHA SecretKey 的编码字节数组,则可以使用Keys.hmacShaKeyFor辅助方法。例如:

byte[] keyBytes = getSigningKeyFromApplicationConfiguration();
SecretKey key = Keys.hmacShaKeyFor(keyBytes);
Run Code Online (Sandbox Code Playgroud)

小智 5

请看对类似问题的回答。

//Generating a safe HS256 Secret key
SecretKey key = Keys.secretKeyFor(SignatureAlgorithm.HS512);
String secretString = Encoders.BASE64.encode(key.getEncoded());
logger.info("Secret key: " + secretString);
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

9864 次

最近记录:

6 年,8 月 前
如何从秘密字符串中生成HMAC_SHA256密钥以在jose4j中与JWT一起使用? 9
更多相关链接
相关归档
从文件系统提供静态资源| Spring Boot Web 18
spring boot 2.0在多个端口上侦听 13
oauth/token上的Spring引导休息服务选项401 11
如何在 Gradle 4.7 中设置 Spring Boot 活动配置文件 9
如何在 spring-boot 应用程序中配置多个 Keycloak sso 客户端? 7
如何解决嵌套异常是java.lang.NoClassDefFoundError:org/springframework/security/web/util/AntPathRequestMatcher 6
如何知道java应用程序是基于Spring或Spring Boot或Spring MVC构建的 6
没有Spring安全性记住我以编程方式登录时创建的cookie 5
Spring Boot Azure AD Bearer Header 身份验证(签名 JWT 被拒绝:签名无效) 5
Spring securityignore url 不适用于 we securityignore 方法 3
难疑归档
grep一个文件,但显示几个周围的行? 3277
在HTML5 localStorage中存储对象 2386
#include <filename>和#include"filename"有什么区别? 2204
npm package.json文件中依赖项,devDependencies和peerDependencies之间有什么区别? 1872
ssh"权限太开放"错误 1859
如何将堆栈跟踪转换为字符串? 1435
如何在python字符串中打印文字大括号字符并在其上使用.format? 1320
如何使用jQuery更改超链接的href 1231
如何将包含文件的文件夹复制到Unix/Linux中的另一个文件夹? 1145
如何在div中垂直对齐文本? 1102