我是JWT代币的新手。我能够使用Java创建和验证JWT(使用JJWT),甚至可以使用以下链接http://kjur.github.io/jsjws/tool_jwt.html在线进行验证。
但是当我尝试使用一个源创建JWT并尝试使用另一个源进行验证时,它总是会失败。我无法使用2个不同的源成功生成和验证JWT。我甚至尝试过使用http://jwt.io
有人可以帮我理解可能出错的地方吗?我相信应该可以使用一个库创建JWT并使用另一个库进行验证,考虑到您正在使用正确的签名算法和密钥。
答案 0 :(得分:2)
The key input at http://kjur.github.io/jsjws/tool_jwt.html accepts hex-encoded values. The default secret 616161 actually decodes to aaa. Verifying the generated token at http://jwt.io/ using aaa as the secret works.
答案 1 :(得分:1)
可能混淆的JWT的一个方面是它不加密数据。 可以提取包括所有字段的JWT的内容。然而,它的签名允许我们验证令牌是使用特定秘密生成/签名的,并且这是用于验证或验证的。 如果那不是问题那么它可能只是@frasertweedale建议的工具/库密钥编码 - 需要注意适当地编码所有源字段。