JWT signature ne correspond pas localement calculée signature

Je suis en utilisant 

JwtBuilder builder = Jwts.builder()
                    .setId(user.getEmail())
                    .signWith(signatureAlgorithm, signingKey);

créer un jeton puis

Jwts.parser().setSigningKey(secret).parse(token);

pour s'authentifier. Lorsque je l'exécute dans un test Unitaire, il fonctionne très bien. Cependant, quand je authentifier jeton passé comme un en-tête sur appel RESTE, l'authentification échoue avec SignatureException. J'ai vérifié le jeton sur les deux extrémités de l'appel HTTP et la chaîne de jeton est identique. Code pour créer et/ou authentifier est statique, donc, le secret est de même de chaque côté.

  • Pourriez-vous poster un exemple de jeton et la clé secrète?
  • statique de la Clé secrète = MacProvider.generateKey(); SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256; byte[] apiKeySecretBytes = secret.getEncoded(); Clé signingKey = new SecretKeySpec(apiKeySecretBytes, signatureAlgorithm.getJcaName());
InformationsquelleAutor stanlick | 2017-02-22
  1. 10

    static Key secret = MacProvider.generateKey(); va générer une nouvelle clé aléatoire à chaque fois que votre serveur est rechargé, parce que les variables statiques sont initialisés lorsque la classe est chargée

    Cela signifie que si vous exécutez une JWT, il n'est valable que tant que le serveur ne redémarre pas. Le SignatureException vous avez raison en est que la clé de signature, c'est différent

    Vous avez besoin pour stocker la clé de signature secret.getEncoded() après la première génération et de la charge lorsque votre module commence

    • Grande observation. Cependant, j'ai une seule classe utilitaire sur le serveur qui est la seule référence à cette Clé statique. Il utilise cette référence unique pour à la fois créer et d'authentifier les opérations. C'est pourquoi il est si confus.
    • Juste pour vérifier qu'il n'y a pas d'autre problème caché: pourriez-vous imprimer le contenu clé avant de signature et de vérification? E. g System.out.println(DatatypeConverter.printHexBinary(secret.getEncoded()))
    • Avez-vous vérifier si le code secret a été de même lors de la signature et de vérification?
    • vous a cloué le frère! C'était une question avec deux différentes VM. Même si le jeton généré était exactement le même sur les deux extrémités, la vérification a échoué car jeton n'était pas généré sur la même machine virtuelle qui a été la réalisation de la vérification
    • J'ai un problème similaire? Pourriez-vous me dire comment le résoudre? stackoverflow.com/questions/45142800/...
    InformationsquelleAutor pedrofb
  2. 2

    J'ai eu un problème similaire. Dans mon cas, c'était faux jeton de validation. J'ai mis le signe octets:

    .signWith(SignatureAlgorithm.HS512, jwtConfig.getSecret().getBytes())

    Mais quand j'ai été l'analyse de la symbolique et de réglage signKey je programmés comme une Chaîne de caractères, pas des octets: 

    Jwts.parser().setSigningKey(signingKey).parseClaimsJws(this.token)

    Également toujours vérifier les citations et les espaces lors de la vérification de jeton, il peut souvent être l'excès de l'espace/citation dans le début/la fin du jeton (utiliser trim () (méthode)

    InformationsquelleAutor S.Dayneko
  3. 2

    J'ai eu le même problème, j'ai remarqué que dans les sources à chaque fois qu'ils convertir la clé de signature de l'-ils explicitement spécifier l'encodage UTF-8. J'ai essayé de changer l'encodage alors que les deux décodage du jeton:

     private Jws<Claims> decodeToken(String token) {
        return Jwts.parser()
                .setSigningKey(securityProperties.getTokenSecret().getBytes(Charset.forName("UTF-8")))
                .parseClaimsJws(token);
 }

    Et lors de la signature du jeton:

    private String getSignedToken(UserDetailsAdapter user, List<String> roles, byte[] signingKey) {
        return Jwts.builder()
                .signWith(Keys.hmacShaKeyFor(signingKey), SignatureAlgorithm.HS512)
                .setHeaderParam("typ", securityProperties.getTokenType())
                .setIssuer(guiServerSecurityProperties.getTokenIssuer())
                .setAudience(guiServerSecurityProperties.getTokenAudience())
                .setSubject(user.getUsername())
                .setExpiration(new Date(System.currentTimeMillis() + 864000000))
                .claim("rol", roles)
                .compact();
    }

    C'est la seule chose qui fixe cela pour moi.

    • cela a fonctionné pour moi : Jwts.analyseur().setSigningKey(secret.getBytes(jeu de caractères.forName("UTF-8"))).parse(token);
    InformationsquelleAutor Dmytro Kostyushko
  4. 1

    J'ai eu un problème similaire. Dans mon cas, les deux clés où le même, mais pour certaines raisons, j'avais reçu un jeton à l'intérieur des guillemets (e.g "Syasda.da3das.aDjty6" au lieu de simplement Syasda.da3das.aDjty6).

    Il m'a fallu beaucoup de temps pour réaliser cela, car la plupart du temps lors de tests sur jwt.oi, je voudrais juste copier le jeton manuellement sans les crochets afin de le vérifier.

    token = token.replace("\"","");

    La suppression de ces citations résolu le problème pour moi. J'espère que cela aidera quelqu'un d'autre aussi.

    InformationsquelleAutor Nuper
  5. 0

    J'ai résolu le problème en modifiant l'HÔTE de l'URL du point de terminaison REST. Il avait un mauvais hôte qui a renvoyé l'erreur HTTP 401 non autorisé.

    InformationsquelleAutor jis83