为什么JSON Web令牌(JWT)在不知道密钥的情况下解密

2022-02-23 00:00:00 jwt java

我正在使用JWT。为了加密令牌,我在Java中使用带有base64EncodedSecretKey的HS512签名算法。在我获得令牌之后,我可以在不知道密钥的情况下解密令牌。这怎麽可能?我的令牌有问题吗?

String JWT = Jwts.builder()
  .signWith(SignatureAlgorithm.HS512, SECRET)
  .setSubject(username)
  .setExpiration(new Date(System.currentTimeMillis() + EXPIRATIONTIME))
  .setAudience("ADMIN")
  .compact();

这里JWT是我的令牌,我通过调用此方法设置密钥:

signWith(SignatureAlgorithm.HS512, SECRET)

字符串SECRET是我的密钥。

但是,当我通过邮递员使用正确的USER_NAME和密码发出请求时,我在标题中收到此令牌:

eyJhbGciOiJIUzUxMiJ9.eyJzdWIiOiJhZG1pbiIsImV4cCI6MTUyMjkyMjAzOSwiYXVkIjoiQURNSU4ifQ.Wye52RTz8P3_7gPxZnJHOArA-ixaNHhQEcfoiAELu_56WXmMcZEAOlUyqP8yI0CWOZ4deXFRcP6azBpZpwNt-w

当我解密它时,我可以查看令牌数据:

{
  alg: "HS512"
}.
{
   sub: "admin",
   exp: 1522922039,
   aud: "ADMIN"
}

所以我的问题是:怎么可能在不知道我的密钥的情况下解密JWT?


解决方案

要使用HS512签名算法加密令牌[.]

否,您没有加密令牌。您正在签署它。

获得令牌后,我可以在不知道密钥的情况下解密令牌[.]

否,您没有解密令牌负载。您正在解码。

令牌负载是编码为base64的JSON字符串,解码它不需要任何密钥。


JSON Web Token(JWT)是一个开放标准,它定义了一种紧凑而独立的方式,用于将各方之间的信息作为JSON对象进行安全传输。

JWT是以下类型令牌的通用名称:

  • JSON Web Signature(Jws):对负载进行编码和签名,以便可以验证声明的完整性。

  • JSON Web Encryption(JWE):它们的负载已加密,因此声明对其他方隐藏。


图像是从此page提取的。

相关文章