JWT用于Android,具有密钥
我必须使用SHA-256算法和一个秘密密钥(例如“BlablabullyseCretKey”)获得一个JWT 尽管如此,一些图书馆和他们的文档我还不知道如何执行这一点 如果我使用这个库(最常用的库之一),这是代码示例:JWT用于Android,具有密钥,android,jwt,Android,Jwt,我必须使用SHA-256算法和一个秘密密钥(例如“BlablabullyseCretKey”)获得一个JWT 尽管如此,一些图书馆和他们的文档我还不知道如何执行这一点 如果我使用这个库(最常用的库之一),这是代码示例: Key key = MacProvider.generateKey(); String s = Jwts.builder().setSubject("stringtoencode").signWith(SignatureAlgorithm.HS512, key).compact(
Key key = MacProvider.generateKey();
String s = Jwts.builder().setSubject("stringtoencode").signWith(SignatureAlgorithm.HS512, key).compact();
Key key = MacProvider.generateKey();
String s = Jwts.builder().setSubject("stringtoencode").signWith(SignatureAlgorithm.HS256, key).compact();
// We need a signing key, so we'll create one just for this example. Usually
// the key would be read from your application configuration instead.
所以我的问题是如何将我的密钥(字符串)转换成密钥类的东西?
MacProvider.generateKey()字符串生成键
,请使用
byte hmacKey[] = passphrase.getBytes(StandardCharsets.UTF8);
Key key = new SecretKeySpec(hmacKey,signatureAlgorithm.getJcaName());
MacProvider.generateKey*
方法已正确生成密钥。这些方法的调用方不需要担心这一点。此外,您的hmacKeyString.getBytes()
示例不正确。因此,您将获得特定于平台的字节,而您的意思可能是getBytes(StandardCharsets.UTF8)。但即使这样也可能是错误的——大多数安全的随机密钥,如果存储为字符串,都是Base64编码的。您不需要获取base64字符串本身的字节-您需要先对其进行base64解码,得到的解码字节就是实际的密钥。@LesHazlewood,我同意您的评论,但OP特别询问如何将我的密钥(字符串)转换为密钥类的内容。密钥是一个没有用base64编码的字符串是,虽然您在回答中从技术上展示了如何根据OP的问题将普通的“ol”字符串转换为SecretKeySpec
,但这并不意味着OP实际上应该这样做,不警告他们安全问题是危险的。根据,如果分别使用HS256、HS384或HS512,则HMAC签名密钥的长度必须大于等于32、48或64字节。根据规范要求,“BlablaBlamAllimySecretKey”不是有效的JWT密钥,使用较短的密钥长度可能会有危险。您好,您从signatureAlgorithm.getJcaName()哪里获得signatureAlgorithm的?@DarkLeonhart,例如使用signatureAlgorithm.HS256.getJcaName()