Shiro CookieRememberMeManager Invalid AES key length

最新推荐文章于 2024-05-05 21:30:34 发布
最新推荐文章于 2024-05-05 21:30:34 发布
阅读量1.8k 收藏
点赞数 1
分类专栏: java SpringBoot 蕃薯耀分享 文章标签: 蕃薯耀 shiro RememberMe Cookie Invalid AES key
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/w995223851/article/details/124215526
版权
蕃薯耀分享 同时被 3 个专栏收录
409 篇文章 1 订阅
订阅专栏
java
278 篇文章 1 订阅
订阅专栏
SpringBoot
57 篇文章 0 订阅
订阅专栏

 ================================

©Copyright 蕃薯耀 2022-04-16

蕃薯耀的博客_CSDN博客

一、问题描述

CookieRememberMeManager使用加密setCipherKey报错:

Caused by: java.security.InvalidKeyException: Invalid AES key length: 10 bytes
	at com.sun.crypto.provider.AESCipher.engineGetKeySize(AESCipher.java:509)
	at javax.crypto.Cipher.passCryptoPermCheck(Cipher.java:1067)
	at javax.crypto.Cipher.checkCryptoPerm(Cipher.java:1038)
	at javax.crypto.Cipher.implInit(Cipher.java:805)
	at javax.crypto.Cipher.chooseProvider(Cipher.java:864)
	at javax.crypto.Cipher.init(Cipher.java:1396)
	at javax.crypto.Cipher.init(Cipher.java:1327)
	at org.apache.shiro.crypto.JcaCipherService.init(JcaCipherService.java:488)
	... 118 common frames omitted

二、问题原因

 Invalid AES key length: 10 bytes

无效的AES密钥长度:10字节

而AES key要求是16位的

三、解决方案

AES的秘钥一定要是16位秘钥,如:1234567890123456

cookieRememberMeManager.setCipherKey("1234567890123456".getBytes());

四、秘钥加版

将16位的AES key转换成base64,然后再解码,不易直接看出秘钥。

//根据base64加密后的字符串,再解密成字节
cookieRememberMeManager.setCipherKey(Base64.decode("MTIzNDU2Nzg5MDEyMzQ1Ng=="));

 (时间宝贵,分享不易,捐赠回馈,^_^)

================================

©Copyright 蕃薯耀 2022-04-16

蕃薯耀的博客_CSDN博客

 

蕃薯耀
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java异常 | InvalidKeyException: Invalid AES key length: 12 bytes
YHJ
06-13 3835
1. 异常现象 使用AES进行加密时,报了一个异常:InvalidKeyException: Invalid AES key length: 12 bytes java.security.InvalidKeyException: Invalid AES key length: 12 bytes at com.sun.crypto.provider.AESCipher.engineGetKeySize(AESCipher.java:509) at javax.crypto.Cipher.passCr
Python3使用AES报错ValueError: Incorrect AES key length (95 bytes)
python之战
12-26 1万+
Traceback (most recent call last):File “C:\Users\billl\AppData\Local\Continuum\anaconda3\lib\site-packages\IPython\core\interactiveshell.py”, line 2963, in&nbsp...
java.security.InvalidKeyException: 无效密钥异常的正确解决方法,亲测有效,嘿嘿嘿
最新发布
PythonAigc的博客
05-05 2246
`java.security.InvalidKeyException` 异常通常发生在尝试使用加密算法时,但提供的密钥不符合该算法的要求或已经损坏。以下是对该异常的分析、原因、解决思路、以及包含代码示例的解决方法。 ### 问题分析 `InvalidKeyException` 异常表明在加密或解密操作中使用的密钥无效。这可能是因为密钥的类型、长度或格式不正确,或者密钥已经过期或损坏。 ### 报错原因 1. **密钥类型不匹配**:加密算法期望的是特定类型的密钥(如公钥、私钥、对称密钥等),但提供了
解决AES加密报错:java.security.InvalidKeyException: Invalid AES key length: xx bytes
热门推荐
ikun 的博客
03-31 1万+
网上还没一个说到这种问题,这个BUG非常隐秘,加密端没有这个"\n"换行符,而解密端有这个换行符"\n",也就是这个导致的密钥长度异常。 在加载AES密钥时对其进行处理,替换掉“\n”。
shiro-550反序列化漏洞
lightsec
04-24 970
前言: shiro反序列化原因是shiro的一个机制为了让浏览器或服务器重启后不丢失用户的登陆状态,会将用户信息保存到 rememberMe字段中 然后发送到服务端,服务端再对它进行base64解密,aes解密,再进行反序列化,由于在 1.2.4 这个版本里 shirokey是固定的,所以可以通过构造一段恶意类经过aes加密再base64加密然后放到 rememberMe 伪造cookie信息,来让服务端加载,进而触发反序列化漏洞 环境搭建: 从github下载代码到本地 下载shiro-r
Java 中的加密算法: AES
zhangjin501的专栏
01-05 5047
Java 中的加密算法: AES
shiro_key1200+.txt
03-10
shiro_key1200+.txtshiro_key1200+.txt
高版本AES-GCM模式加密的Shiro漏洞利用1
08-03
高版本AES-GCM模式加密的Shiro漏洞利用1 高版本AES-GCM模式加密的Shiro漏洞利用1是指在Shiro框架中,使用高版本AES-GCM模式加密时出现的漏洞利用问题。Shiro框架在高版本中更换了加密算法,从AES-CBC换成了AES-GCM...
shiro漏洞检测工具
08-10
shiro漏洞检测工具,找了一个18M左右的不好用,经验证这个好用,不会报找不到类错误。
shiro_tool.zip
10-11
一款好用的shiro检测利用工具,使用方式java -jar shiro_tool.jar https://xx.xx.xx.xx,Github有开源下载链接,在这里上传是为了赚积分下载别的工具,欢迎使用
jce_policy-8 解决aes加解密 key长度限制jar包
05-28
在使用aes加解密时,如果密钥大于128, 会抛出java.security.InvalidKeyException: Illegal key size 异常. 因为密钥长度是受限制的, java运行时环境读到的是受限的policy文件. 文件位于${java_home}/jre/lib/security, 这种限制是因为美国对软件出口的控制.
shiro(shiro1.3.2)
03-21
Apache Shiro是一个强大且易用的Java安全框架,主要用于处理认证、授权、加密以及会话管理等核心安全性问题。在给定的压缩包"shiro1.3.2"中,包含了Shiro的一个核心组件库"shiro-all-1.3.2.jar"以及两个日志管理库...
Spring Boot项目Shiro1.7.1版本默认密钥的漏洞
UDWORLD的博客
09-06 3045
Shiro1.7.1版本默认密钥的漏洞
java.security.InvalidKeyException: IOException : algid parse error, not a sequence
stay hungry ! stay foolish!
03-23 1196
问题 java使用openssl生成的PEM格式的私钥文件,在调用 factory.generatePrivate 时报错 java.security.InvalidKeyException: IOException : algid parse error, not a sequence 测试代码 import java.security.KeyFactory; import java.security.NoSuchAlgorithmException; import java.securit
Shiro第十三章-RememberMe和Cookie
海恩的博客
04-30 5912
简介 首先在登录页面选中remember me然后登录成功;如果是浏览器登录,一般会把remember me的cookie写到客户端保存下来; 关闭浏览器再次打开,会发现浏览器还是记住你的; 访问一般的网页服务端还是知道你是谁的,且能正常访问; 但是比如我们访问淘宝时,如果要查看我的订单或进行支付时,还是需要再进行身份验证,以确定当前用户还是你。 remember me...
解决AES加密报错:java.security.InvalidKeyException: Unsupported key size: 18 bytes
xinzi11243094的博客
04-10 4589
1、错误描述 今天使用AES进行加密时候,报错如下所示: 04-21 11:08:18.087 27501-27501/com.xtc.watch E/AESUtil.decryptAES:55: java.security.InvalidKeyException: Unsupported key size: 18 bytes ...
Apache Shiro 默认密钥致命令执行漏洞(CVE-2016-4437)
12-21 3465
目录 1 漏洞描述 2 漏洞特征 3 修复建议 4 解决办法 4.1 升级shiro到最新版本 4.2 自定义生成AESkey(Apache Shiro使用官方自带的生成AES密钥) 5 参考网址 1 漏洞描述 Apache Shiro 是ASF旗下的一款开源软件,它提供了一个强大而灵活的安全框架,提供身份验证、授权、密码学和会话管理。在Apache Shiro部分旧版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中,攻击者可以使用Shiro的默认密钥...
java:AES加密和解密
a232884c的博客
12-17 6640
对称加密,即单秘钥加密,指加密和解密的过程中,使用相同的秘钥,相比于非对称加密,因仅有一把钥匙,故而速度更快,更适合解密大文件(常见于如视频文件的加密解密中)。AES算法就属于对称加密中的一种。
shiro/shiro/default-key
08-29
对于您提到的 `shiro/shiro/default-key`,它是 Apache Shiro 框架中用于加密和解密的默认密钥。Apache Shiro 是一个强大且易于使用的 Java 安全框架,用于身份验证、授权、密码学和会话管理等方面的应用程序安全。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值