- Java 双重比较
- java - 比较器与 Apache BeanComparator
- Objective-C 完成 block 导致额外的方法调用?
- database - RESTful URI 是否应该公开数据库主键?
我像这样使用 JJWT 库生成 token -
final String issuer = "my-app-auth-server@my-app-797ab.iam.gserviceaccount.com";
final String sub = "my-app-auth-server@my-app-797ab.iam.gserviceaccount.com";
final String aud = "https://identitytoolkit.googleapis.com/google.identity.identitytoolkit.v1.IdentityToolkit";
final String secret = "my-secret-key" //only demo key , not real secret key that i am using
final long iat = System.currentTimeMillis() / 1000L; // issued at claim
final long exp = iat + 60L; // expires claim. In this case the token expires in 60 seconds
final String jwtString = Jwts.builder()
.claim("alg","HS256")
.claim("iss", issuer)
.claim("aud",aud)
.claim("iat", iat)
.claim("exp", exp)
.claim("uid",number)
.setSubject(sub)
.signWith(SignatureAlgorithm.HS256, secret)
.compact();
我使用的 key (“我的 secret key ”)是由 Firebase 生成的,如 here 所述
但是当我使用上面生成的 token 登录 Firebase 时出现此错误 -
com.google.firebase.auth.FirebaseAuthInvalidCredentialsException: The custom token format is incorrect. Please check the documentation.
at com.google.android.gms.internal.zzafd.zzes(Unknown Source)
at com.google.android.gms.internal.zzafa$zzg.zza(Unknown Source)
at com.google.android.gms.internal.zzafl.zzet(Unknown Source)
at com.google.android.gms.internal.zzafl$zza.onFailure(Unknown Source)
at com.google.android.gms.internal.zzafg$zza.onTransact(Unknown Source)
at android.os.Binder.execTransact(Binder.java:367)
at dalvik.system.NativeStart.run(Native Method)
这是解码后的样子 -
请帮忙,提前致谢。
最佳答案
my-secret-key
不是有效的 Base64 字符串。请阅读 signWith(SignatureAlgorithm, String)
的 JavaDoc方法:
/**
* Signs the constructed JWT using the specified algorithm with the
* specified key, producing a JWS.
*
* <p>This is a convenience method: the string argument is first
* BASE64-decoded to a byte array and this resulting byte array is
* used to invoke {@link #signWith(SignatureAlgorithm, byte[])}.</p>
*
* @param alg the JWS algorithm to use to digitally sign the JWT,
* thereby producing a JWS.
* @param base64EncodedSecretKey the BASE64-encoded algorithm-specific
* signing key to use to digitally sign the JWT.
* @return the builder for method chaining.
*/
JwtBuilder signWith(SignatureAlgorithm alg, String base64EncodedSecretKey);
加密签名始终使用字节数组键计算——从不使用字符串。您可以获得字符串的 UTF-8 字节,例如 "my-secret-key".getBytes("UTF-8");
,但这只会掩盖可能是一个非常有问题的密码学弱点。
数字签名 key (同样是字节数组)理想情况下不应基于简单的字符串,如“我的 secret ”或“我的密码”。或者,至少,如果一个简单的密码应该用作签名 key ,那么通过 key 派生算法(如 PBKDF2)发送它几乎总是更好,然后使用生成的输出作为签名 key 。这确保了足够的加密熵(随机性),而人类可读的短字符串则没有(因此存在风险)。
理想情况下,签名 key 应始终是:
第 2 点是 JJWT 提供 MacProvider.generateKey
的原因方法 - 确保您始终拥有足够强度的 key 来选择算法。然后,您可以轻松地对结果进行 base64 编码:
SecretKey key = MacProvider.generateKey(SignatureAlgorithm.HS256);
String base64Encoded = TextCodec.BASE64.encode(key.getEncoded());
这就是 JJWT 默认期望 Base64 的原因 - 因为如果您执行这些最佳实践,您将始终以字节数组键(例如 key.getEncoded())结束。如果您有字节数组键,将其转换为字符串(例如用于配置)的最常见方法是对该字节数组进行 Base64 编码。
最后,请注意 TextCodec.BASE64.decode(myKey)
不会产生与 myKey.getBytes('UTF-8')
相同的字节数组(键) .后者在密码上下文中通常是不正确的。
这意味着 my-secret-token-to-change-in-production.getBytes("UTF-8") 可能代表弱签名 key ,因此不应使用。我建议转储当前 key 并生成一个具有强加密保证的新 key ,如上所示(例如使用 JJWT)并确保您的节点库 base64 正确解码您的字符串。
因此,一旦您有了安全的随机生成字节数组和 Base64,然后选中上述工具中的“ secret base64 编码”复选框,它应该适合您。
关于android - Firebase 自定义身份验证错误 : The custom token format is incorrect,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/39913813/
在 JSF2 应用程序中遇到验证属性的问题时,有两种主要方法。 使用 Annotation 在 ManagedBean 上定义验证 @ManagedBean public class MyBean {
我想实现一个不常见的功能,我认为 jquery 验证插件将是最好的方法(如果您在没有插件的情况下建议和回答,我们也会欢迎)。我想在用户在输入字段中输入正确的单词后立即隐藏表单。我试过这个: $("
我有几个下拉菜单(类名为month_dropdown),并且下拉菜单的数量不是恒定的。我怎样才能为它们实现 NotEqual 验证。我正在使用 jQuery 验证插件。 这就是我写的 - jQuery
我设法制作了这个网址验证代码并且它起作用了。但我面临着一个问题。我认为 stackoverflow 是获得解决方案的最佳场所。 function url_followers(){ var url=do
我目前正在使用后端服务,该服务允许用户在客户端应用程序上使用 Google Games 库登录。 用户可以通过他们的 gplay ID 向我们发送信息,以便登录或恢复旧帐户。用户向我们发送以下内容,包
我正在尝试验证输入以查看它是否是有效的 IP 地址(可能是部分地址)。 可接受的输入:172、172.112、172.112.113、172.112.113.114 Not Acceptable 输入
我从 Mongoose 验证中得到这条消息: 'Validator failed for path phone with value ``' 这不应该发生,因为不需要电话。 这是我的模型架构: var
我一直在尝试使用Python-LDAP (版本 2.4.19)在 MacOS X 10.9.5 和 Python 2.7.9 下 我想在调用 .start_tls_s() 后验证与给定 LDAP 服务
我正在处理一个仅与 IE6 兼容的旧 javascript 项目(抱歉...),我想仅在 VS 2017 中禁用此项目的 ESLint/CSLint/Javascript 验证/CSS 验证。 我知道
我正在寻找一种方法来验证 Spring 命令 bean 中的 java.lang.Double 字段的最大值和最小值(一个值必须位于给定的值范围之间),例如, public final class W
我正在尝试在 springfuse(JavaEE 6 + Spring Framework (针对 Jetty、Tomcat、JBoss 等)) 和 maven 的帮助下构建我的 webapps 工作
我试图在我们的项目中使用 scalaz 验证,但遇到了以下情况: def rate(username: String, params: Map[String, String]): Validation
我有一个像这样的 Yaml 文件 name: hhh_aaa_bbb arguments: - !argument name: inputsss des
我有一个表单,人们可以单击并向表单添加字段,并且我需要让它在单击时验证这些字段中的值。 假设我单击它两次并获取 2 个独立的字段集,我需要旋转 % 以确保它在保存时等于 100。 我已放入此函数以使其
在我的页面中有一个选项可以创建新的日期字段输入框。用户可以根据需要创建尽可能多的“截止日期”和“起始日期”框。就像, 日期_to1 || date_from1 日期到2 ||日期_from2 date
我有一个像这样的 Yaml 文件 name: hhh_aaa_bbb arguments: - !argument name: inputsss des
有没有办法在动态字段上使用 jquery 验证表单。 我想将其设置为必填字段 我正在使用 Jsp 动态创建表单字段。 喜欢 等等...... 我想使用必需的表单字段验证此表单字段。 最佳答
嗨,任何人都可以通过提供 JavaScript 代码来帮助我验证用户名文本框不应包含数字,它只能包含一个字符。 最佳答案 使用正则表达式: (\d)+ 如果找到匹配项,则字符串中就有一个数字。 关于J
我有两个输入字段holidayDate和Description(id=tags) $(document).ready(function() {
我遇到了这个问题,这些验证从电子邮件验证部分开始就停止工作。 我只是不明白为什么即使经过几天的观察,只是想知道是否有人可以在这里指出我的错误? Javascript部分: function valid
我是一名优秀的程序员,十分优秀!