最近接手了一个后台,前端使用后端生成的合法token调用接口的时候会提示token无法解析,甩出了
io.jsonwebtoken.SignatureException: JWT signature does not match locally computed signature. JWT validity cannot be asserted and should not be trusted.
由于使用的框架和依赖是企业付费购买的,这里就不方便细述debug过程,最后debug时候发现在生成token前指定了JwtApi的JwtSecret
JwtApi jwtApi = JwtTokenApiFactory.createJwtApi(sysclient.getCaTokenSecret(),
sysclient.getTokenExpireSeconds());
public static JwtApi createJwtApi(String jwtSecret, Integer expiredSeconds) {
if (ObjectUtil.hasEmpty(jwtSecret, expiredSeconds)) {
throw new JwtException(JwtExceptionEnum.JWT_PARAM_EMPTY);
}
JwtConfig jwtConfig = new JwtConfig();
jwtConfig.setJwtSecret(jwtSecret);
jwtConfig.setExpiredSeconds(expiredSeconds.longValue());
return new JwtTokenOperator(jwtConfig);
}
String jwtToken = jwtApi.generateToken(payloadMap);
这样的话在创建token时使用的secret和过期时间分别为:
但是在当前端带着token去访问接口时,在拦截器会做一个校验:
public void validateToken(String token) {
// 校验jwt token的正确性
boolean tokenFlag = jwtApi.validateToken(token);
// 如果token错误正确
if (!tokenFlag) {
throw new AuthException(AuthExceptionEnum.TOKEN_PARSE_ERROR);
}
// 校验token在session缓存中是否存在
LoginUser session = sessionManagerApi.getSession(token);
if (session == null) {
throw new AuthException(AUTH_EXPIRED_ERROR);
}
}
@Override
public boolean validateToken(String token) {
try {
getJwtPayloadClaims(token);
return true;
} catch (io.jsonwebtoken.JwtException jwtException) {
return false;
}
}
@Override
public Claims getJwtPayloadClaims(String token) {
return Jwts.parser()
.setSigningKey(jwtConfig.getJwtSecret())
.parseClaimsJws(token)
.getBody();
}
但是这个时候的jwtConfig因为没有指定,所以是随机生成的
解决方法就是在调用jwtApi.validateToken(token)前先初始化jwtConfig进行赋值就好。