jwt token校验失败 io.jsonwebtoken.SignatureException: JWT signature does not match locally computed signature. JWT validity cannot be asserted and should not be trusted.

最近接手了一个后台，前端使用后端生成的合法token调用接口的时候会提示token无法解析，甩出了

io.jsonwebtoken.SignatureException: JWT signature does not match locally computed signature. JWT validity cannot be asserted and should not be trusted.

由于使用的框架和依赖是企业付费购买的，这里就不方便细述debug过程，最后debug时候发现在生成token前指定了JwtApi的JwtSecret

JwtApi jwtApi = JwtTokenApiFactory.createJwtApi(sysclient.getCaTokenSecret(),
      sysclient.getTokenExpireSeconds());

public static JwtApi createJwtApi(String jwtSecret, Integer expiredSeconds) {

    if (ObjectUtil.hasEmpty(jwtSecret, expiredSeconds)) {
        throw new JwtException(JwtExceptionEnum.JWT_PARAM_EMPTY);
    }

    JwtConfig jwtConfig = new JwtConfig();
    jwtConfig.setJwtSecret(jwtSecret);
    jwtConfig.setExpiredSeconds(expiredSeconds.longValue());

    return new JwtTokenOperator(jwtConfig);
}

String jwtToken = jwtApi.generateToken(payloadMap);

这样的话在创建token时使用的secret和过期时间分别为：

 

但是在当前端带着token去访问接口时，在拦截器会做一个校验：

public void validateToken(String token) {

    // 校验jwt token的正确性
    boolean tokenFlag = jwtApi.validateToken(token);

    // 如果token错误正确
    if (!tokenFlag) {
        throw new AuthException(AuthExceptionEnum.TOKEN_PARSE_ERROR);
    }

    // 校验token在session缓存中是否存在
    LoginUser session = sessionManagerApi.getSession(token);
    if (session == null) {
        throw new AuthException(AUTH_EXPIRED_ERROR);
    }
}

@Override
public boolean validateToken(String token) {
    try {
        getJwtPayloadClaims(token);
        return true;
    } catch (io.jsonwebtoken.JwtException jwtException) {
        return false;
    }
}

@Override
public Claims getJwtPayloadClaims(String token) {
    return Jwts.parser()
            .setSigningKey(jwtConfig.getJwtSecret())
            .parseClaimsJws(token)
            .getBody();
}

但是这个时候的jwtConfig读取的是配置文件中的配置

 

解决方法就是在调用jwtApi.validateToken(token)前先初始化jwtConfig进行赋值，或者统一数据库和配置文件的秘钥。