java.lang.IllegalArgumentException：如果指定的 JWT 是数字签名的，则必须指定签名密钥

我正在寻求实施JWT在我的申请中，我正在通过参考以下内容进行一些研发：https://stormpath.com/blog/jwt-java-create-verify https://stormpath.com/blog/jwt-java-create-verify。我成功地实现了generateToken()方法，当我试图verifyToken()通过提取权利要求集。我不明白从哪里来apiKey.getSecret()是来自。您能指导我吗？

下面的代码供参考：

public class JJWTDemo {

    private static final String secret = "MySecrete";

    private static String generateToken(){
        String id = UUID.randomUUID().toString().replace("-", "");
        Date now = new Date();
        Date exp = new Date(System.currentTimeMillis() + (1000*30)); // 30 seconds

        String token = Jwts.builder()
                .setId(id)
                .setIssuedAt(now)
                .setNotBefore(now)
                .setExpiration(exp)
                .signWith(SignatureAlgorithm.HS256, secret)
                .compact();

        return token;
    }

    private static void verifyToken(String token){
        Claims claims = Jwts.parser().
                setSigningKey(DatatypeConverter.parseBase64Binary(apiKey.getSecret()))
                .parseClaimsJws(token).getBody();
        System.out.println("----------------------------");
        System.out.println("ID: " + claims.getId());
        System.out.println("Subject: " + claims.getSubject());
        System.out.println("Issuer: " + claims.getIssuer());
        System.out.println("Expiration: " + claims.getExpiration());
    }

    public static void main(String[] args) {
        System.out.println(generateToken());
        String token = generateToken();
        verifyToken(token);
    }
}

我看到出现以下错误：

eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiI4N2E5NmYwNTcyN2M0ZDY0YjZmODlhNDAyOTQ2OTZiNyIsImlhdCI6MTQ4NDQ4NjYyNiwibmJmIjoxNDg0NDg2NjI2LCJleHAiOjE0ODQ0ODY2NTZ9.ycS7nLWnPpe28DM7CcQYBswOmMUhBd3wQwfZ9C-yQYs
Exception in thread "main" java.lang.IllegalArgumentException: A signing key must be specified if the specified JWT is digitally signed.
    at io.jsonwebtoken.lang.Assert.notNull(Assert.java:85)
    at io.jsonwebtoken.impl.DefaultJwtParser.parse(DefaultJwtParser.java:331)
    at io.jsonwebtoken.impl.DefaultJwtParser.parse(DefaultJwtParser.java:481)
    at io.jsonwebtoken.impl.DefaultJwtParser.parseClaimsJws(DefaultJwtParser.java:541)
    at io.jsonwebtoken.jjwtfun.service.JJWTDemo.verifyToken(JJWTDemo.java:31)
    at io.jsonwebtoken.jjwtfun.service.JJWTDemo.main(JJWTDemo.java:41)

Maven 依赖：

<dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>${jjwt.version}</version>
        </dependency>
<jjwt.version>0.7.0</jjwt.version>

apiKey.getSecret()博客文章中引用了分配给 Stormpath 为每个客户提供的 API 密钥的安全、随机生成和 Base64 编码的密钥（如密码）。 Stormpath 客户使用此 API 密钥对 Stormpath REST API 中的每个请求进行身份验证。由于每个 Stormpath 客户都有一个 API 密钥（并且您的应用程序可以访问该密钥），因此 API 密钥密钥是签名和验证特定于您的应用程序的 JWT 的理想“默认值”。

如果您没有 Stormpath API 密钥，任何足够强大的安全随机字节数组都可以用于签名和验证 JWT。

在上面的示例中，以下内容显示为测试密钥：

private static final String secret = "MySecrete";

这不是有效的（符合 JWT 的）密钥，并且不能用于 JWT HMAC 算法。

智威汤逊 RFCrequires那你MUST https://www.rfc-editor.org/rfc/rfc7518#section-3.2使用等于或大于哈希输出长度的字节数组密钥长度。

这意味着，如果您使用 HS256、HS384 或 HS512，则密钥字节数组必须分别为 256 位（32 字节）、384 位（48 字节）或 512 位（64 字节）。我对此进行了更详细的介绍另一个 StackOverflow 答案 https://stackoverflow.com/a/40274325/407170- 查看那里的数据，以及MacProvider可以为您生成符合规范且安全的密钥的示例。

基于此，以下是该代码示例，重写为 a) 生成有效密钥和 b) 将该密钥引用为 Base64 编码字符串：

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import io.jsonwebtoken.impl.crypto.MacProvider;

import java.security.Key;
import java.util.Base64;
import java.util.Date;
import java.util.UUID;

public class JJWTDemo {

    private static final Key secret = MacProvider.generateKey(SignatureAlgorithm.HS256);
    private static final byte[] secretBytes = secret.getEncoded();
    private static final String base64SecretBytes = Base64.getEncoder().encodeToString(secretBytes);

    private static String generateToken() {
        String id = UUID.randomUUID().toString().replace("-", "");
        Date now = new Date();
        Date exp = new Date(System.currentTimeMillis() + (1000 * 30)); // 30 seconds

        String token = Jwts.builder()
            .setId(id)
            .setIssuedAt(now)
            .setNotBefore(now)
            .setExpiration(exp)
            .signWith(SignatureAlgorithm.HS256, base64SecretBytes)
            .compact();
        
        return token;
    }

    private static void verifyToken(String token) {
        Claims claims = Jwts.parser()
            .setSigningKey(base64SecretBytes)
            .parseClaimsJws(token).getBody();
        System.out.println("----------------------------");
        System.out.println("ID: " + claims.getId());
        System.out.println("Subject: " + claims.getSubject());
        System.out.println("Issuer: " + claims.getIssuer());
        System.out.println("Expiration: " + claims.getExpiration());
    }

    public static void main(String[] args) {
        System.out.println(generateToken());
        String token = generateToken();
        verifyToken(token);
    }
}

请注意，Base64 编码的字节数组是not加密（文本编码！=加密），因此，如果您对密钥字节进行 Base64 编码，请确保您仍然保持该 Base64 字符串安全/隐藏。

最后，上面的静态最终常量（名为secret, secretBytes and base64SecretBytes）仅用于这个简单的测试演示 - 永远不要将密钥硬编码到源代码中，更不用说将它们设为静态常量，因为它们很容易被反编译。