那些遇到过的问题

我的 HMACSHA256 签名验证几乎有效,但不完全有效

Cap*_*rco 1 java sha256 hmac jwt

我编写了一个方法,将 JWT 作为请求并检查签名是否有效。

这是单元测试:

@Test
public void isValid() {
    final JwtValidator jwtValidator = JwtValidator.getInstance();
    final boolean valid = jwtValidator.isValid("eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c");
    Assert.isTrue(valid);
}
Run Code Online (Sandbox Code Playgroud)

这是代码:

@SneakyThrows
public boolean isValid(String extractedToken) {
    final String[] tokenParts = extractedToken.split(Pattern.quote("."));
    String header = tokenParts[0];
    String payload = tokenParts[1];
    String signature = tokenParts[2];

    final byte[] calcHmacSha256 = HMAC.calcHmacSha256("your-256-bit-secret".getBytes(), (header+"."+payload).getBytes());

    final String s = Base64.getEncoder().encodeToString(calcHmacSha256);

    System.out.println("'" + signature + "'.equals('"+s+"')");
    return signature.equals(s);
}
Run Code Online (Sandbox Code Playgroud)

日志打印两个字符串,仅相差 2 个字符,所以我觉得我已经接近“但不完全”使其工作:

'SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c'.equals('SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV/adQssw5c=')
Run Code Online (Sandbox Code Playgroud)

当然存在硬编码值,因为实现尚未完成,但我现在使用https://jwt.io/中的示例值以便于使用。

谢谢!

编辑1:

public class JwtValidatorTest {

    @Test
    public void isValid() {
        byte[] header64 = Base64.getEncoder().encode("{\"alg\":\"HS256\",\"typ\":\"JWT\"}".getBytes());
        byte[] payload64 = Base64.getEncoder().encode("{\"sub\":\"1234567890\",\"name\":\"John Doe\",\"iat\":1516239022}".getBytes());

        final byte[] calcHmacSha256 = HMAC.calcHmacSha256("your-256-bit-secret".getBytes(), (header64+"."+payload64).getBytes());
        final String signature64 = Base64.getEncoder().encodeToString(calcHmacSha256);

        final String input = header64 + "." + payload64 + "." + signature64;

        final JwtValidator jwtValidator = JwtValidator.getInstance();

        final boolean valid = jwtValidator.isValid(input);
        
        Assert.isTrue(valid);
    }
}
Run Code Online (Sandbox Code Playgroud)

jps*_*jps 5

差异只是由于这里使用的编码不同造成的。您使用了 Base64 编码,但原始签名是Base64Url编码的。根据 RFC7519,Base64Url 编码是JWT 的标准编码

每个部分都包含一个 base64url 编码的值

=Base64Url 编码末尾没有填充 ( ),字符+/被替换为-_

这段代码应该可以解决这个问题:

final String s = Base64.getUrlEncoder().withoutPadding().encodeToString(calcHmacSha256);
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

889 次

最近记录:

3 年,3 月 前
相关归档
Maven父母pom vs模块pom 279
使用Regex生成字符串而不是匹配它们 100
原始类型'短' - 用Java编写 76
为什么java 5+中的volatile不能确保来自另一个线程的可见性? 69
Spring/Java错误:JDK 1.5及更高版本上的命名空间元素'annotation-config'... 67
Java中的稀疏矩阵/数组 63
使用常量空间和O(n)运行时编写二进制搜索树的非递归遍历 48
如何在eclipse luna中配置lombok 47
如何判断用户是否在react(客户端)中使用仅http cookies和JWT登录 11
Laravel Passport:API的令牌存储在服务器上吗?在哪里? 1
难疑归档
如何重定向到其他网页? 7725
Python中追加与扩展列表方法的区别 3119
撤消git rebase 2965
如何在JavaScript中获取查询字符串值? 2701
使用Git下载特定标签 1892
在JavaScript中将字符串转换为整数? 1603
检索HTML元素的位置(X,Y) 1418
为什么文本文件以换行符结尾? 1375
什么是按位移位(位移)运算符以及它们如何工作? 1340
如何删除文本/输入框周围的边框(轮廓)?(铬) 1208