Caused by: io.jsonwebtoken.security.WeakKeyException: The specified key byte array is 40 bits which

最新推荐文章于 2024-09-30 17:45:03 发布
最新推荐文章于 2024-09-30 17:45:03 发布
阅读量4.6k 收藏 2
点赞数 2
分类专栏: SpringBoot 文章标签: jwt spring boot java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43364428/article/details/112179595
版权

项目:

一、说明:SpringBoot整合SpringSecurity实现JWT认证,选用了SignatureAlgorithm.HS512算法,在用使用base64-secret作为私钥JWT进行签名的时候报错:

org.springframework.context.ApplicationContextException: Unable to start web server; nested exception is org.springframework.boot.web.server.WebServerException: Unable to start embedded Tomcat
	at org.springframework.boot.web.servlet.context.ServletWebServerApplicationContext.onRefresh(ServletWebServerApplicationContext.java:155) ~[spring-boot-2.0.6.RELEASE.jar:2.0.6.RELEASE]
	at org.springframework.context.support.AbstractApplicationContext.refresh(AbstractApplicationContext.java:542) ~[spring-context-5.0.10.RELEASE.jar:5.0.10.RELEASE]
	at org.springframework.boot.web.servlet.context.ServletWebServerApplicationContext.refresh(ServletWebServerApplicationContext.java:140) ~[spring-boot-2.0.6.RELEASE.jar:2.0.6.RELEASE]
	at org.springframework.boot.SpringApplication.refresh(SpringApplication.java:754) [spring-boot-2.0.6.RELEASE.jar:2.0.6.RELEASE]
	at org.springframework.boot.SpringApplication.refreshContext(SpringApplication.java:386) [spring-boot-2.0.6.RELEASE.jar:2.0.6.RELEASE]
	at org.springframework.boot.SpringApplication.run(SpringApplication.java:307) [spring-boot-2.0.6.RELEASE.jar:2.0.6.RELEASE]
	at org.springframework.boot.SpringApplication.run(SpringApplication.java:1242) [spring-boot-2.0.6.RELEASE.jar:2.0.6.RELEASE]
	at org.springframework.boot.SpringApplication.run(SpringApplication.java:1230) [spring-boot-2.0.6.RELEASE.jar:2.0.6.RELEASE]	
Caused by: org.springframework.beans.factory.BeanCreationException: Error creating bean with name 'jwtTokenUtils' defined in file [E:\CloneStudy\springcloud-token\target\classes\com\eureka\springcloudtoken\utils\JwtTokenUtils.class]: Invocation of init method failed; nested exception is io.jsonwebtoken.security.WeakKeyException: The specified key byte array is 40 bits which is not secure enough for any JWT HMAC-SHA algorithm.  The JWT JWA Specification (RFC 7518, Section 3.2) states that keys used with HMAC-SHA algorithms MUST have a size >= 256 bits (the key size must be greater than or equal to the hash output size).  Consider using the io.jsonwebtoken.security.Keys#secretKeyFor(SignatureAlgorithm) method to create a key guaranteed to be secure enough for your preferred HMAC-SHA algorithm.  See https://tools.ietf.org/html/rfc7518#section-3.2 for more information.
	at org.springframework.beans.factory.support.AbstractAutowireCapableBeanFactory.initializeBean(AbstractAutowireCapableBeanFactory.java:1694) ~[spring-beans-5.0.10.RELEASE.jar:5.0.10.RELEASE]
	at org.springframework.beans.factory.support.AbstractAutowireCapableBeanFactory.doCreateBean(AbstractAutowireCapableBeanFactory.java:573) ~[spring-beans-5.0.10.RELEASE.jar:5.0.10.RELEASE]
	at org.springframework.beans.factory.support.AbstractAutowireCapableBeanFactory.createBean(AbstractAutowireCapableBeanFactory.java:495) ~[spring-beans-5.0.10.RELEASE.jar:5.0.10.RELEASE]
	at org.springframework.beans.factory.support.AbstractBeanFactory.lambda$doGetBean$0(AbstractBeanFactory.java:317) ~[spring-beans-5.0.10.RELEASE.jar:5.0.10.RELEASE]
	at org.springframework.beans.factory.support.DefaultSingletonBeanRegistry.getSingleton(DefaultSingletonBeanRegistry.java:222) ~[spring-beans-5.0.10.RELEASE.jar:5.0.10.RELEASE]
	at org.springframework.beans.factory.support.AbstractBeanFactory.doGetBean(AbstractBeanFactory.java:315) ~[spring-beans-5.0.10.RELEASE.jar:5.0.10.RELEASE]
	at org.springframework.beans.factory.support.AbstractBeanFactory.getBean(AbstractBeanFactory.java:199) ~[spring-beans-5.0.10.RELEASE.jar:5.0.10.RELEASE]
	at org.springframework.beans.factory.config.DependencyDescriptor.resolveCandidate(DependencyDescriptor.java:251) ~[spring-beans-5.0.10.RELEASE.jar:5.0.10.RELEASE]
	at org.springframework.beans.factory.support.DefaultListableBeanFactory.doResolveDependency(DefaultListableBeanFactory.java:1135) ~[spring-beans-5.0.10.RELEASE.jar:5.0.10.RELEASE]
	at org.springframework.beans.factory.support.DefaultListableBeanFactory.resolveDependency(DefaultListableBeanFactory.java:1062) ~[spring-beans-5.0.10.RELEASE.jar:5.0.10.RELEASE]
	at org.springframework.beans.factory.support.ConstructorResolver.resolveAutowiredArgument(ConstructorResolver.java:819) ~[spring-beans-5.0.10.RELEASE.jar:5.0.10.RELEASE]
	at org.springframework.beans.factory.support.ConstructorResolver.createArgumentArray(ConstructorResolver.java:725) ~[spring-beans-5.0.10.RELEASE.jar:5.0.10.RELEASE]
	... 38 common frames omitted
Caused by: io.jsonwebtoken.security.WeakKeyException: The specified key byte array is 40 bits which is not secure enough for any JWT HMAC-SHA algorithm.  The JWT JWA Specification (RFC 7518, Section 3.2) states that keys used with HMAC-SHA algorithms MUST have a size >= 256 bits (the key size must be greater than or equal to the hash output size).  Consider using the io.jsonwebtoken.security.Keys#secretKeyFor(SignatureAlgorithm) method to create a key guaranteed to be secure enough for your preferred HMAC-SHA algorithm.  See https://tools.ietf.org/html/rfc7518#section-3.2 for more information.
	at io.jsonwebtoken.security.Keys.hmacShaKeyFor(Keys.java:81) ~[jjwt-api-0.10.6.jar:na]
	at com.eureka.springcloudtoken.utils.JwtTokenUtils.afterPropertiesSet(JwtTokenUtils.java:37) ~[classes/:na]
	at org.springframework.beans.factory.support.AbstractAutowireCapableBeanFactory.invokeInitMethods(AbstractAutowireCapableBeanFactory.java:1753) ~[spring-beans-5.0.10.RELEASE.jar:5.0.10.RELEASE]
	at org.springframework.beans.factory.support.AbstractAutowireCapableBeanFactory.initializeBean(AbstractAutowireCapableBeanFactory.java:1690) ~[spring-beans-5.0.10.RELEASE.jar:5.0.10.RELEASE]
	... 49 common frames omitted

二、分析:
主要报错在:
(1)Unable to start web server; nested exception is org.springframework.boot.web.server.WebServerException: Unable to start embedded Tomcat
一开始以为是版本依赖冲突问题,继续看后面的错误发现不是

(2)Caused by: io.jsonwebtoken.security.WeakKeyException: The specified key byte array is 40 bits which is not secure enough for any JWT HMAC-SHA algorithm.
大概的意思是Key的数组位数不足,返回来看自己Key代码的位置,
发现key是用于生成Token时候的签名密钥,附上生成token的部分代码:

public String createToken(Map<String,Object> claims){
    return Jwts.builder()
            .claim(AUTHORITIES_KEY,claims)
            .setId(UUID.randomUUID().toString())
            .setIssuedAt(new Date())
            .setExpiration(new Date((new Date()).getTime()+jwtSecurityProperties.getTokenValidityInSeconds()))
            .compressWith(CompressionCodecs.DEFLATE)
            .signWith(key, SignatureAlgorithm.HS512)
            .compact();
}

三、解决方法
(1)依赖jjwt0.9.1之后的版本对于密钥安全性要求更高(体现在secret密钥的长度要达到一定的位数),若仍想使用安全性较低的密钥,需使用0.9.1之前的版本。
(2)经排查,这问题是因为选用了HS512算法后,对安全要求更高了,原有的RSA算法私钥长度1024已经不符合要求,因此假如要使用该算法进行加密,需要重新更换秘钥长度,在生成RSA密钥对的时候,把keySize改为2048或者更高。
(3)本项目的key取值是从配置文件中获取的,所以只需要把key的值(即私钥)位数变多即可:


```java
jwt:
  header: Authorization
  #令牌前照
  token-start-with: Bearer
  #使用Base64对该令牌进行编码
  base64-secret: 1212121hsodhsdhasdhsaldhsalhdlsahdlsad(关键点)
  #令牌过期时间,单位毫秒
  token-validity-in-seconds: 1440000
@yang@yang
关注
专栏目录
Caused by: java.lang.ClassNotFoundException: org.apache.commons.collections.Transformer异常
08-18
在这个特定的场景中,异常堆栈跟踪显示了 `Caused by: java.lang.ClassNotFoundException: org.apache.commons.collections.Transformer`,这表明系统无法找到 `org.apache.commons.collections.Transformer` 类。...
jwt令牌,io.jsonwebtoken.security.WeakKeyException,秘钥字节数过小,安全性弱报错
Yluciud的博客
08-21 448
输入的秘钥基于base64,中只能包含A-Z , a-z,0-9,否则会报错。秘钥设置的长度过短,长度必须要大于等于256bit。增加签名算法第二个参数中,传递的秘钥长度。
JWT设置密钥长度
在这个充满危险的乱世之中,只有学会烤鸡才能顽强的活下去。
11-16 1万+
一、问题描述 我需要用调用这个系统本来就有的鉴权代码,然后让用户进行登录,但是在走JWT自动创建Token的时候,就开始报错了。报错信息如下: io.jsonwebtoken.security.WeakKeyException: The signing key's size is 40 bits which is not secure enough for the HS256 algorithm. The JWT JWA Specification (RFC 7518, Section 3.2..
JWT 令牌生成报错
最新发布
weixin_64178283的博客
09-30 346
io.jsonwebtoken.security.WeakKeyException: The signing key's size is 64 bits which is not secure enough for the HS256 algorithm.
JWT 认证报错:io.jsonwebtoken.security.WeakKeyException
Siona_xin 的博客
06-06 4223
SpringBoot 整合 SpringSecurity 实现 JWT 认证,选用了 SignatureAlgorithm.HS512 算法,在用使用 base64-secret 作为私钥 JWT 进行签名的时候报错。
nacos2.2启动报错The specified key byte array is 16 bits which is not secure enough for any JWT HMAC-SHA
dawei1980的专栏
03-03 6408
nacos2.2启动报错The specified key byte array is 16 bits which is not secure enough for any JWT HMAC-SHA
Caused by: io.jsonwebtoken.security.WeakKeyException: The specified key byte array is 224 bits which
拒绝躺平,适当内卷
06-10 2371
Caused by: io.jsonwebtoken.security.WeakKeyException: The specified key byte array is 224 bits which is not secure enough for any JWT HMAC-SHA algorithm. The JWT JWA Specification (RFC 7518, Section 3.2) states that keys used with HMAC-SHA algorithms MUST.
Android Caused by: java.lang.ClassNotFoundException解决办法
08-31
"Android Caused by: java.lang.ClassNotFoundException解决办法" 在 Android 开发中,ClassNotFoundException 是一个常见的异常,它通常发生在应用程序启动或运行时。这个异常的出现告诉我们,Java 虚拟机无法找到...
Caused by: java.lang.ClassNotFoundException: org.objectweb.asm.Type异常
09-16
在这个特定的场景中,异常堆栈跟踪显示 `Caused by: java.lang.ClassNotFoundException: org.objectweb.asm.Type`,这表明在运行时,系统无法找到`org.objectweb.asm.Type`这个类。`org.objectweb.asm` 是一个用于...
Caused by: android.system.ErrnoException: write failed: ENOSPC (
08-18
### 错误解析:Caused by: android.system.ErrnoException: write failed: ENOSPC (No space left 在Android开发过程中,可能会遇到“Caused by: android.system.ErrnoException: write failed: ENOSPC (No space ...
JWT(Json Web Token)Java实现jar
04-18
压缩包中包jjwt.jar和源码包 JSON WEB TokenJWT,读作 [/dʒɒt/]),是一种基于JSON的、用于在网络上声明某种主张的令牌(token
Nacos 2.2.1 启动报错
weixin_44295677的博客
04-11 2261
nacos 2.2.1 安装报错
JWT | io.jsonwebtoken.security.WeakKeyException: The signing key's size is 1024 bits which is not se
Eshare分享
08-04 6728
背景 今天集成JWT的时候,选用了PS256算法,在用使用PGP KEY作为私钥JWT进行签名的时候,报了如下错误: "C:\Program Files\Java\jdk1.8.0_161\bin\java.exe" -ea -Didea.test.cyclic.buffer.size=1048576 "-javaagent:D:\Program Files\JetBrains\IntelliJ ...
Java JWTio.jsonwebtoken.jjwt-api的简单使用演示
DIA的博客
09-05 2296
理由:采用的极大好处就是,将大部分的数据运算、存储压力给转移至前端而非服务端。
Java基础之《JWT使用》
csj50的专栏
11-07 3557
1、Json web token (JWT) 的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。也可以增加一些额外的其他业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。传统的token,例如:用户登录成功生成对应的令牌,key为令牌,value为userid,隐藏了数据真实性,同时将该token存放到redis中,返回对应的真实令牌给客户端存放。4、为什么不再用session id。session缺点,集群无法共享。3、传统的token
ServiceComb实战 (2)io.jsonwebtoken.security.WeakKeyException
码农践行
10-26 2484
一、现象 io.jsonwebtoken.security.WeakKeyException 二、处理 secretKey 加大长度
微服务下使用jjwt生成token签名signwith带来的问题
热门推荐
weixin_40598838的博客
09-14 1万+
概述 token常用于分布式中,带着很多的用户信息,不存储于服务器,是常见的认证方式之一。在一个网站中,你要回复一个问题,那么就需要验证你的最低权限是用户。 引入jar包 <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.6.0</v
Caused by: io.lettuce.core.RedisCommandExecutionException: The client IP is not in the whitelist
06-03
这个错误提示是因为你的客户端IP没有被加入Redis的白名单中。Redis默认情况下只允许来自本地的连接,如果你想要从远程连接到Redis,需要在Redis配置文件中设置bind参数为0.0.0.0来允许所有IP连接,或者将你的IP地址加入Redis的白名单中。你可以通过修改Redis配置文件或者使用命令行工具来实现这个操作。如果你使用的是云服务提供商提供的Redis服务,可以在其管理控制台中进行相应的设置。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值