JJWT的解密bug

于 2023-03-30 15:41:02 发布
阅读量168 收藏
点赞数 1
文章标签: bug spring cloud spring boot java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/L_simian7/article/details/129858771
版权

问题描述

使用io.jsonwebtoken.Jwts构造了一个token,在解析这个token时,发现解析秘钥和构建秘钥不完全相同也可以成功解析,代码如下

签发token

    /** 测试生成token */
    @Test
    public void testJwt() {
        JwtBuilder jwtBuilder = Jwts.builder()
                // 唯一ID {"":""}
                .setId("888")
                // 接受的用户 {"sub":"Rose"}
                .setSubject("Rose")
                // 签发时间 {"iat":"。。。"}
                .setIssuedAt(new Date())
                // 签名算法 及秘钥
                .signWith(SignatureAlgorithm.HS256, "node");
        // 签发token
        String token = jwtBuilder.compact();
        System.out.println(token);

        String[] split = token.split("\\.");
        // 头部
        System.out.println(Base64Codec.BASE64.decodeToString(split[0]));
        // 载荷
        System.out.println(Base64Codec.BASE64.decodeToString(split[1]));
        // 算法及秘钥 这个会乱码
        System.out.println(Base64Codec.BASE64.decodeToString(split[2]));
    }
}

解析token

/** 解析token */
    @Test
    public void testParseToken() {
        String token = "eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiI4ODgiLCJzdWIiOiJSb3NlIiwiaWF0IjoxNjMyNzMxMzYyfQ.9GZJUoTNwJuMh5tFMd3giJh36YNuCnFuWsDKONOg2C8";
        // 得到的是荷载
        Claims claims = (Claims) Jwts.parser()
                // 解析时的秘钥一定要和签发时秘钥相同,但是发现这了的秘钥为4-7个x都是可以成功解析的
                .setSigningKey("nodeabc")
                // .parse(token)
                .parseClaimsJws(token)
                .getBody();
        System.out.println(claims);
    }

 解析成功。只要近似的key就能解析,这样很不安全。

问题分析

在查看设置秘钥的地方,io.jsonwebtoken.JwtBuilder有一个默认的实现类io.jsonwebtoken.impl.DefaultJwtBuilder,我们看看他的signWith方法,signWith有三个重载形式,我们只看我们调用的那个就行了

关键的地方我标出来了,signWith拿到秘钥之后是先将秘钥用base64解码之后再进行操作的。

然后再看解析token时的地方,io.jsonwebtoken.JwtParser也有一个默认的实现类io.jsonwebtoken.impl.DefaultJwtParser,设置秘钥的方法setSigningKey也有三个重载形式,我们使用的是下面这个

可以看到,setSigningKey方法也将拿到的秘钥用base64解码了,咋一看好像没什么问题,解码就解码呗,反正两边都解了,同一个字符串,解码过肯定是一样的结果,但问题恰巧就出现在这里。

虽然相同的字符串经过base64解码过后也一定是相同的,但是不同的字符串经过base64解码过后也可能是相同的!!

测试

可以看到,我测试了三种不同地方的工具类,在将xxxx和xxxxx按照base64解码时,都解码成相同的byte数组了。在jwt设置秘钥和解析秘钥时,使用的是第一种,所以就不难理解,为啥秘钥即便不完全相同,只要近似也能解析。

解决问题 

虽然搞清楚了原理,那怎么解决这个问题呢?或者这是jjwt的一个或base64的bug?是不是base64的bug我不知道,但是一定不是jjwt的bug,只是我们调用api是没有按照人家要求调用。再来看看构建token时设置秘钥的方法

人家方法的变量名叫:base64EncodedSecretKey,就是想让你传一个经过base64编码过后的字符串。接口上也有明确的注释: 

在解析token时设置秘钥的方法也有同样的注释。如果按照api要求来调用,就没有问题了,因为base64是对称加密的,解码被加密过后一样的字符串,得到的肯定是两个一样原始内容。

联想拓展
我对base64了解没那么深,只知道是一个对称加密的算法,但是也会感到奇怪,为什么对不同的字符串进行解码时,能得到相同的结果呢?

我只能尝试这么理解:Base64在加密时,是通过一步一步加密的,相同的东西,在加密时经过的步骤都是相同的,所以最终加密出来也是相同的。但是解密则有点不同,什么不同呢?如果你是经过我Base64加密过后,你再来经过我解密,我能按照加密过程的逆过程,一步一步把你还原成原来的样子。但是如果你压根就没有经过我Base64加密,你却要来走我Base64的还原过程,那我在还原的过程中,有的步骤都没法走,直接跳过了,最后把你“还原”。所以那些近似的、不是经过Base64加密的字符串,在经过Base64解密时,都有一些相同步骤跳过了,所以最终解密过后得到了相同的东西。当然,这都是我自己的理解。

另外,在测试过程中,我发现,有的地方的Base64工具类,测试的结果不一样,上面测试了三个base64解码,分别是:

io.jsonwebtoken.impl.TextCodec.BASE64
io.jsonwebtoken.impl.Base64Codec
cn.hutool.core.codec.Base64
三者在解密时,结果都是一样的。但是在解密多个不同数的时候时,就有所不同了
 

 

布想玩辣
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JDK11,8引入不同版本的jjwt异常问题
u010748421的博客
07-15 2万+
JJWT在JDK11,8及不同版本的处理问题 问题 原先在旧的项目中,用的是SpringCloudGateway2.0.4,对应的maven依赖是spring-cloud-starter-gateway:2.0.4.RELEASE,springboot的版本是2.0.6.RELEASE,jwt则直接是一个依赖全部引进来,如下所示 <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId&g
java基础之解密JWT
qq_41613913的博客
10-04 2838
package com.chinadci.backendservice.common.tokenJWT; import com.chinadci.backendservice.model.Properties; import io.jsonwebtoken.Claims; import io.jsonwebtoken.Jwts; import javax.xml.bind.Datatype...
JWT的编码以及解码
qq_59066017的博客
10-27 1623
原文链接:https://blog.csdn.net/m0_60489526/article/details/120118912。//获取签名秘钥,并采取HS256的加密算法进行签名。// 使用基本型的编码器和解码器 对数据进行编码和解码。//根据name和type取出相应的value。//解析token中的数据载体部分。* 秘钥用于signature(签名)部分的加密和解密。// 5.对编码后的字符串进行解码。// 6.打印输出解码后的字符串。// 3.输出编码后的字符串。// 2.对字符串进行编码。
JAVA中使用JWT算法加解密方案
低调D树苗的博客
01-14 3314
1.JWT简介 JSON Web Token(JWT)是目前最流行的跨域身份验证解决方案。 详细介绍:https://baijiahao.baidu.com/s?id=1608021814182894637&wfr=spider&for=pc 2.前提 2.1所需jar包 <dependency> <groupId&g...
JWT加密和解密的使用
牧小七的博客
02-24 1148
JWT加密和解密的使用
jjwt-0.11.5 jackson-2.13.3
06-24
标题中的"jjwt-0.11.5 jackson-2.13.3"提到了两个关键组件:JWT(Json Web Token)的0.11.5版本和Jackson库的2.13.3版本。JWT是一种轻量级的身份验证和授权机制,常用于在分布式系统中安全地传递信息。而Jackson是...
jjwt-0.9.1.zip
10-25
标题中的"jjwt-0.9.1.zip"是一个压缩包文件,其核心内容与JWT(JSON Web Token)相关,并且版本号为0.9.1。JWT是一种开放标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为JSON对象...
jjwt-0.11.2.zip
04-22
JJWTJava JWT)是Java生态中广泛使用的JWT库,它允许开发者轻松地创建、解析和验证JWT。版本0.11.2是JJWT的一个稳定版本,提供了丰富的功能和改进。 在使用jjwt-0.11.2.zip这个压缩包时,首先需要了解JWT的基本...
jjwt-api-0.10.5.jar
07-27
Java Web Token 之 JJWT 使用
jjwt-0.11.2.tar.gz
04-22
jjwt-0.11.2.tar.gz是一个压缩包,其中包含了jjwt库的版本0.11.2的所有相关文件。这个版本可能包括了jar文件、源代码、文档、示例代码以及可能的构建脚本等。 使用jjwt框架生成JWT的过程如下: 1. **设置密钥**:...
jwt解析token报错:Signed Claims JWSs are not supported.
weixin_43549350的博客
03-25 4630
jwt解析token报错:Signed Claims JWSs are not supported. Exception in thread "main" io.jsonwebtoken.UnsupportedJwtException: Signed Claims JWSs are not supported. at io.jsonwebtoken.JwtHandlerAdapter.onClaimsJws(JwtHandlerAdapter.java:50) at io.jsonwebtoken.im
JSON Web Token的使用
weixin_30546933的博客
05-19 327
JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。1、 1 <dependency> 2 <groupId>io.jsonwebtoken</groupId> 3 <artifactId>jjwt</artifactId> 4 &...
json web token的简单实现 JAVA
qq_19404533的博客
04-15 6832
1.简介 json web token(JWT)是一种新的用户认证方式,不同与以前的Session. JWT不需要服务器端存储用户信息,当用户登录后,服务器将用户信息放入加密放入token,需要时再通过对token解密获取. 关于更多JWT的介绍请自行搜索,这里提供一篇便于理解的文章: http://www.tuicool.com/articles/uuAzAbU 八幅漫画理解使用JSON
JSON Web Token (JWT)生成Token及解密实战。
Java技术栈,分享最主流的Java技术
01-25 1万+
昨天讲解了JWT的介绍、应用场景、优点及注意事项等,今天来个JWT具体的使用实践吧。 从JWT官网支持的类库来看,jjwtJava支持的算法中最全的,推荐使用,网址如下。 https://github.com/jwtk/jjwt 下面来看看如何使用jjwt来实现JWT token的生成与解密,主要用到sha512算法来演示。 1、导入jjwt的maven包。 depende
jsonwebtoken 详解!
qq_45135138的博客
05-28 3049
jsonwebtoken 详解! 王一峰的网络日志 » 首页 » 档案 搜索 上一篇:每周分享第 14 期 下一篇:每周分享第 15 期 分类: 开发者手册 JSON Web Token 入门教程 作者: 王一峰 日期: 2018年7月23日 感谢 腾讯课堂NEXT学院 赞助本站,腾讯官方的前端培训 正在招生中。 腾讯课堂 NEXT 学院 JSON Web Token(缩写 JWT)是目前最流行的...
JJwt加密解密
weixin_59459355的博客
09-03 524
pom.xml依赖 <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.6.0</version> </dependency> <dependency>
利用jwt生成或解密token信息
热门推荐
天涯的博客
05-08 2万+
jwt(json web token)是一种能够允许我们在用户和服务器之间传递安全可靠信息的规范。它可以采用对称加密和非对称加密的方式,对我们所要传递的数据进行加密,防止数据的泄露。在web应用中,jwt通常可以结合Spring-security,对访问的页面进行安全保护,如果有需要,可以参照本文参考文献中的内容。本文主要对jwt的类进行封装,生成tocken信息。 JWT 由三...
JWT工具类
houkai的博客
03-30 2万+
1.JWT 加密/解密工具类实现 import com.google.gson.Gson; import io.jsonwebtoken.Claims; import io.jsonwebtoken.JwtBuilder; import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import jav...
springboot JJWT
最新发布
09-10
Spring Boot JJWT (JSON Web Token) 是一个用于在 Spring Boot 应用程序中实现 JWT 的库。JWT 是一种用于安全传输信息的开放标准(RFC 7519),它通过数字签名验证数据的完整性,并使用密钥对数据进行加密。 要在 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值