我在我的应用程序中使用JWT进行登录验证过程。 要生成我正在使用的令牌:
Jwts.builder().setSubject(username).signWith(SignatureAlgorithm.HS512, MacProvider.generateKey()).compact();
生成令牌:
eyJhbGciOiJIUzUxMiJ9.eyJzdWIiOiJlaG91c2VAZGV2ZXJldXgub3JnIn0.5SX-AU-p_RlfC3CZa-YXnQu_YR7RsG2Xfim3LOmlqxjAZrIyZiz0fYZwViHr113ms8TNvngcJcV07U4hK-RBZQ
当我在jwt.io调试器中解码此令牌时,它告诉我一个无效的签名。我无法找到此失败的原因,因为我可以看到我用于验证的有效负载中的用户名。有人能指出我的问题吗?我需要更改代码中的任何内容吗?
答案 0 :(得分:4)
MacProvider.generateKey()都会生成一个新的随机签名。您需要生成一次并存储它。密钥用于签名和验证令牌。
如果你没有存储密钥,你将无法验证令牌,这正是jwt.io的问题。 您必须提供签名密钥。在您的情况下,使用可以包含非表示字符的随机密钥(也可以使用密码,但不建议使用),将其编码为base64。然后在jwt.io中标记检查以验证令牌
Key key =MacProvider.generateKey();
String keyB64 = javax.xml.DataTypeConverter.printBase64Binary(key.getEncoded());