V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
ruandao
V2EX  ›  问与答

jwt 密钥的长度限制, Java (jsonwebtoken)中有长度限制, nodejs(egg-jwt)的没有

  •  
  •   ruandao · 169 天前 · 674 次点击
    这是一个创建于 169 天前的主题,其中的信息可能已经有所发展或是发生改变。

    嗯,https://jwt.io/#debugger-io 中的好像也没有长度限制

    nodejs (egg-jwt) 也没有

    他们是自己填充了缺少的位置吗

        String key = "123456";
        String jws = Jwts.builder().setSubject("Joe").signWith(SignatureAlgorithm.HS256, key).compact();
        
    

    在 java 中运行的话,会出现

    The signing key's size is 32 bits which is not secure enough for the HS256 algorithm.

    的报错

    问这个问题,主要是我 nodejs (egg-jwt) 生成的 token 。java 这边会报错

    谢谢

    第 1 条附言  ·  169 天前
    java 这边直接抛出了一个异常

    io.jsonwebtoken.security.WeakKeyException

    而不是说,打印日志警告下
    6 条回复    2021-12-01 13:43:45 +08:00
    chairuosen
        1
    chairuosen  
       169 天前
    只是个安全提示吧,key 太短容易被碰撞
    GM
        2
    GM  
       169 天前
    这只是警告秘钥太短,并没有限制你长度。
    GM
        3
    GM  
       169 天前



    补齐上面那句话。
    pupboss
        4
    pupboss  
       169 天前
    如果你的 key 是 123456 ,那我拿到你返回的 jwt 之后,分分钟就暴力破解你签名的内容,然后伪造管理员的内容重新签名,去你的系统搞破坏

    不过看你的用法,Jwts.builder().setSubject("Joe") 里面就写了个名字,想来也没啥卵用
    ruandao
        5
    ruandao  
    OP
       169 天前
    @pupboss 网上拷贝的代码
    Citrus
        6
    Citrus  
       169 天前
    根据文档:

    https://www.rfc-editor.org/rfc/rfc7518#page-7

    A key of the same size as the hash output (for instance, 256 bits for "HS256") or larger MUST be used with this algorithm.

    Java 实现没问题,nodejs 实现有问题。
    关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1232 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 22:56 · PVG 06:56 · LAX 15:56 · JFK 18:56
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.