php小编香蕉指出,使用JWT(JSON Web Tokens)时必须注意其有效性无法断言,不应被信任。JWT是一种用于身份验证和授权的令牌,但是由于其自包含的特性,一旦令牌被篡改,就无法确保其有效性。因此,在使用JWT时,我们应该采取严格的验证措施,包括验证签名、过期时间等,并且不要将敏感信息存储在JWT中,以免造成安全风险。
问题内容
我的 jwtutil.java 代码:
@service
@requiredargsconstructor
public class jwtutil {
private secretkey getsigningkey() {
return jwts.sig.hs512.key().build();
}
public string generatetoken(securitymember securitymember) {
map<string, object> claims = new hashmap<>();
return createtoken(claims, securitymember.getusername());
}
public string createtoken(map<string, object> claims, string subject) {
return jwts.builder().claims(claims).subject(subject).issuedat(new date(system.currenttimemillis()))
.expiration(new date(system.currenttimemillis() + 1000 * 60 * 60 * 10))
.signwith(getsigningkey())
.compact();
}
public boolean validatetoken(string token, securitymember securitymember) {
final string username = extractusername(token);
return (username.equals(securitymember.getusername()) && !istokenexpired(token));
}
private boolean istokenexpired(string token) {
return extractexpiration(token).before(new date(system.currenttimemillis()));
}
public date extractexpiration(string token) {
return extractclaims(token,claims::getexpiration);
}
public
string extractusername(string token) {
return extractclaims(token,claims::getsubject);
}
private <t> t extractclaims(string token, function<claims, t> claimsresolver) {
final jwe<claims> claims = extractallclaims(token);
return claimsresolver.apply(claims.getpayload());
}
private jwe<claims> extractallclaims(string token) {
try {
return jwts.parser()
.requireissuer("http://localhost:8080")
.verifywith(getsigningkey())
.build()
.parse(token).accept(jwe.claims);
} catch (jwtexception ex) {
throw new jwtexception("wrong jwt"+ex.getmessage(),ex);
}
}
}
问题是:
Caused by: io.jsonwebtoken.security.SignatureException: JWT signature does not match locally computed signature. JWT validity cannot be asserted and should not be trusted.
解决方法
您的函数 getsigningkey() 使用 jwts.sig.hs512.key().build();,每次调用它时都会创建一个新密钥。
但是当您签署令牌和验证令牌时,您会调用 getsigningkey() ,因此在这两种情况下您都有不同的密钥。
而是创建一个密钥并存储它并使用存储的密钥。例如:
signingKey = getSigningKey(); // use it for signing Jwts.builder().signWith(signingKey)... // and verification Jwts.parser().verifyWith(signingKey)...
但是密钥的创建不应该在每次创建令牌时都发生,而应该与之分离。您还应该考虑保留密钥,以便在重新启动程序后仍然拥有相同的密钥。否则重启后所有发行的token都会失效。
验证意味着您根据用于签名的同一密钥来验证令牌签名。
以上是陷入错误。 JWT 有效性无法断言,不应被信任的详细内容。更多信息请关注PHP中文网其他相关文章!
热AI工具
Undresser.AI Undress
人工智能驱动的应用程序,用于创建逼真的裸体照片
AI Clothes Remover
用于从照片中去除衣服的在线人工智能工具。
Undress AI Tool
免费脱衣服图片
Clothoff.io
AI脱衣机
AI Hentai Generator
免费生成ai无尽的。
热门文章
热工具
Dreamweaver Mac版
视觉化网页开发工具
mPDF
mPDF是一个PHP库,可以从UTF-8编码的HTML生成PDF文件。原作者Ian Back编写mPDF以从他的网站上“即时”输出PDF文件,并处理不同的语言。与原始脚本如HTML2FPDF相比,它的速度较慢,并且在使用Unicode字体时生成的文件较大,但支持CSS样式等,并进行了大量增强。支持几乎所有语言,包括RTL(阿拉伯语和希伯来语)和CJK(中日韩)。支持嵌套的块级元素(如P、DIV),
PhpStorm Mac 版本
最新(2018.2.1 )专业的PHP集成开发工具
SublimeText3汉化版
中文版,非常好用
MinGW - 适用于 Windows 的极简 GNU
这个项目正在迁移到osdn.net/projects/mingw的过程中,你可以继续在那里关注我们。MinGW:GNU编译器集合(GCC)的本地Windows移植版本,可自由分发的导入库和用于构建本地Windows应用程序的头文件;包括对MSVC运行时的扩展,以支持C99功能。MinGW的所有软件都可以在64位Windows平台上运行。
