gpt4 book ai didi

android - Firebase 自定义身份验证错误 : The custom token format is incorrect

转载 作者:搜寻专家 更新时间:2023-11-01 09:40:53 24 4
gpt4 key购买 nike

我像这样使用 JJWT 库生成 token -

    final String issuer = "my-app-auth-server@my-app-797ab.iam.gserviceaccount.com";
final String sub = "my-app-auth-server@my-app-797ab.iam.gserviceaccount.com";
final String aud = "https://identitytoolkit.googleapis.com/google.identity.identitytoolkit.v1.IdentityToolkit";
final String secret = "my-secret-key" //only demo key , not real secret key that i am using



final long iat = System.currentTimeMillis() / 1000L; // issued at claim
final long exp = iat + 60L; // expires claim. In this case the token expires in 60 seconds

final String jwtString = Jwts.builder()
.claim("alg","HS256")
.claim("iss", issuer)
.claim("aud",aud)
.claim("iat", iat)
.claim("exp", exp)
.claim("uid",number)
.setSubject(sub)
.signWith(SignatureAlgorithm.HS256, secret)
.compact();

我使用的 key (“我的 secret key ”)是由 Firebase 生成的,如 here 所述

但是当我使用上面生成的 token 登录 Firebase 时出现此错误 -

com.google.firebase.auth.FirebaseAuthInvalidCredentialsException: The custom token format is incorrect. Please check the documentation.
at com.google.android.gms.internal.zzafd.zzes(Unknown Source)
at com.google.android.gms.internal.zzafa$zzg.zza(Unknown Source)
at com.google.android.gms.internal.zzafl.zzet(Unknown Source)
at com.google.android.gms.internal.zzafl$zza.onFailure(Unknown Source)
at com.google.android.gms.internal.zzafg$zza.onTransact(Unknown Source)
at android.os.Binder.execTransact(Binder.java:367)
at dalvik.system.NativeStart.run(Native Method)

这是解码后的样子 -

enter image description here

请帮忙,提前致谢。

最佳答案

my-secret-key不是有效的 Base64 字符串。请阅读 signWith(SignatureAlgorithm, String) 的 JavaDoc方法:

/**
* Signs the constructed JWT using the specified algorithm with the
* specified key, producing a JWS.
*
* <p>This is a convenience method: the string argument is first
* BASE64-decoded to a byte array and this resulting byte array is
* used to invoke {@link #signWith(SignatureAlgorithm, byte[])}.</p>
*
* @param alg the JWS algorithm to use to digitally sign the JWT,
* thereby producing a JWS.
* @param base64EncodedSecretKey the BASE64-encoded algorithm-specific
* signing key to use to digitally sign the JWT.
* @return the builder for method chaining.
*/
JwtBuilder signWith(SignatureAlgorithm alg, String base64EncodedSecretKey);

加密签名始终使用字节数组键计算——从不使用字符串。您可以获得字符串的 UTF-8 字节,例如 "my-secret-key".getBytes("UTF-8"); ,但这只会掩盖可能是一个非常有问题的密码学弱点。

数字签名 key (同样是字节数组)理想情况下不应基于简单的字符串,如“我的 secret ”或“我的密码”。或者,至少,如果一个简单的密码应该用作签名 key ,那么通过 key 派生算法(如 PBKDF2)发送它几乎总是更好,然后使用生成的输出作为签名 key 。这确保了足够的加密熵(随机性),而人类可读的短字符串则没有(因此存在风险)。

理想情况下,签名 key 应始终是:

  1. 由安全随机数生成器生成或至少通过加密安全 key 派生函数创建,并且
  2. 这很重要 - 有足够的长度供要使用的散列算法使用。

第 2 点是 JJWT 提供 MacProvider.generateKey 的原因方法 - 确保您始终拥有足够强度的 key 来选择算法。然后,您可以轻松地对结果进行 base64 编码:

SecretKey key = MacProvider.generateKey(SignatureAlgorithm.HS256);
String base64Encoded = TextCodec.BASE64.encode(key.getEncoded());

这就是 JJWT 默认期望 Base64 的原因 - 因为如果您执行这些最佳实践,您将始终以字节数组键(例如 key.getEncoded())结束。如果您有字节数组键,将其转换为字符串(例如用于配置)的最常见方法是对该字节数组进行 Base64 编码。

最后,请注意 TextCodec.BASE64.decode(myKey)不会产生与 myKey.getBytes('UTF-8') 相同的字节数组(键) .后者在密码上下文中通常是不正确的。

这意味着 my-secret-token-to-change-in-production.getBytes("UTF-8") 可能代表弱签名 key ,因此不应使用。我建议转储当前 key 并生成一个具有强加密保证的新 key ,如上所示(例如使用 JJWT)并确保您的节点库 base64 正确解码您的字符串。

因此,一旦您有了安全的随机生成字节数组和 Base64,然后选中上述工具中的“ secret base64 编码”复选框,它应该适合您。

关于android - Firebase 自定义身份验证错误 : The custom token format is incorrect,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/39913813/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com