jose4j JwtConsumer的验证密钥

Question

我使用jose4j来验证和处理JWT。JWT看起来如下所示，它通过了JWT主页中的验证。

​

但是，我不能使用jose4j java库来做同样的事情。异常抱怨我设置的验证密钥。但是在库中定义了许多类型的密钥，我尝试了它们，但没有成功。守则如下：

import java.util.Map;

import org.jose4j.jwt.JwtClaims;
import org.jose4j.jwt.consumer.InvalidJwtException;
import org.jose4j.jwt.consumer.JwtConsumer;
import org.jose4j.jwt.consumer.JwtConsumerBuilder;
import org.jose4j.keys.HmacKey;

public class YGJWT {

    public static void main(String args[]) throws InvalidJwtException {

        String jwt = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ";
        String secret = "secret";

        JwtConsumer jwtConsumer = new JwtConsumerBuilder()
                .setVerificationKey(new HmacKey(secret.getBytes())) //what kind of key do i need to use it here?
                .build();


        JwtClaims jwtClaims = jwtConsumer.processToClaims(jwt);
        Map<String, Object> claimsMap = jwtClaims.getClaimsMap();

        claimsMap.forEach((String key, Object val) -> {
            System.out.println(key + ": " + val.toString());
        });

    }

}

任何帮助都是非常感谢的。

Answer 1

我猜你会遇到这样的例外吧？

org.jose4j.lang.InvalidKeyException: A key of the same size as the hash output (i.e. 256 bits for HS256) or larger MUST be used with the HMAC SHA algorithms but this key is only 48 bits

HmacKey是HS256的正确类型，但是根据https://www.rfc-editor.org/rfc/rfc7518#section-3.2的第二段，键在技术上太短了，其中包含与异常消息相同的文本。

您可以通过使用JwtConsumer构建.setRelaxVerificationKeyValidation()来解决这个问题，这将允许使用更短的键。

如下所示(只向示例中的代码片段添加一行)：

JwtConsumer jwtConsumer = new JwtConsumerBuilder()
     .setVerificationKey(new HmacKey(secret.getBytes())) 
     .setRelaxVerificationKeyValidation() 
     // allow shorter HMAC keys when used w/ HSxxx algs 
     .build();

不过，一般来说，我会尽量避免使用短密码，如“机密”，并建议在可能的情况下使用更强的密钥。