Spring中JJWT生成解析带签名JWT方法

本文深入剖析了 Spring 项目中使用 JJWT 时高频报错 “Unsigned plaintext JWTs are not supported” 的本质原因——并非框架缺陷，而是 JJWT 对 RFC 7519 安全规范的强制执行：JWT 在生产环境中必须签名，禁用无签名（none）模式是防止篡改与伪造的关键防线；文章不仅清晰揭示错误根源，更提供一套开箱即用、符合最佳实践的 HS512 签名 JWT 全流程实现方案，涵盖密钥安全生成（避免硬编码）、构建与解析的算法/密钥严格配对、v0.12+ 新 API 正确用法、常见陷阱（如算法不匹配、密钥强度不足、异常裸奔）的精准规避，助你一步到位构建健壮、合规、可落地的身份认证凭证体系。

本文详解 JJWT 报错 “Unsigned plaintext JWTs are not supported” 的根本原因，并提供完整、安全、可运行的 HS512 签名 JWT 构建与解析方案，涵盖密钥管理、算法选择及常见陷阱规避。

本文详解 JJWT 报错 “Unsigned plaintext JWTs are not supported” 的根本原因，并提供完整、安全、可运行的 HS512 签名 JWT 构建与解析方案，涵盖密钥管理、算法选择及常见陷阱规避。

在基于 Spring 的 Java 应用中使用 io.jsonwebtoken:jjwt-api 和 jjwt-impl（v0.12+ 推荐搭配 jjwt-jackson）时，开发者常因忽略 JWT 的安全性规范而触发 UnsupportedJwtException。核心问题在于：JJWT 默认拒绝处理未签名（unsigned）的纯文本 JWT（即 none 算法）——这并非 bug，而是强制安全实践：RFC 7519 明确规定，生产环境 JWT 必须具备数字签名或加密保护，以防止篡改与伪造。

上述错误 Unsigned plaintext JWTs are not supported 直接源于调用 .compact() 时未指定签名算法与密钥；而后续尝试 .setSigningKey(...) 后又出现 Signed plaintext JWSs are not supported，则通常是因为解析器未配置对应密钥或算法不匹配（例如构建用 HS256 但解析时未显式指定）。

✅ 正确做法是：构建与解析必须成对使用相同签名算法和密钥。以下为推荐的 HS512 实现（兼顾安全性与性能）：

import io.jsonwebtoken.*;
import io.jsonwebtoken.security.Keys;
import java.security.Key;
import java.util.HashMap;
import java.util.Map;

// 1. 定义密钥（生产环境请从配置中心/环境变量加载，切勿硬编码）
private static final String TOKEN_SECRET = "jwtToken"; // ⚠️ 仅用于演示！实际需 ≥32 字节随机密钥

public void generateAndParseJwt() {
    // 2. 构建 JWT：必须调用 signWith() 并指定算法 + 密钥
    Map<String, Object> claims = new HashMap<>();
    claims.put("id", "123123123");

    String jws = Jwts.builder()
            .setClaims(claims)           // 自定义载荷
            .setSubject("wahaha")        // 主题（如用户ID）
            .signWith(SignatureAlgorithm.HS512, TOKEN_SECRET) // 关键：启用签名
            .compact();

    System.out.println("Generated JWT: " + jws);

    // 3. 解析 JWT：解析器必须使用相同密钥（且推荐显式指定算法）
    Jws<Claims> parsed = Jwts.parserBuilder()
            .setSigningKey(TOKEN_SECRET) // ✅ 必须传入相同密钥
            .build()
            .parseClaimsJws(jws);

    Claims body = parsed.getBody();
    System.out.printf("Decoded subject: %s, custom ID: %s%n", 
                      body.getSubject(), body.get("id"));
}

? 关键注意事项：

• 密钥强度：HS512 要求密钥长度 ≥ 64 字节（512 比特）。若使用短字符串（如 "jwtToken"），JJWT 会自动用 SecretKeySpec 补齐，但生产环境务必使用 Keys.hmacShaKeyFor(byte[]) 生成强密钥：

  Key key = Keys.hmacShaKeyFor("32-byte-secret-key-xxxxxxxxxxxx".getBytes(StandardCharsets.UTF_8));

• API 版本兼容性：JJWT v0.12+ 已弃用 Jwts.parser() 静态方法，统一使用 Jwts.parserBuilder()；同时 setSigningKey() 接收 String 仅适用于 HMAC 算法，RSA/ECDSA 需传入 Key 对象。
• 异常处理：务必捕获 JwtException 及其子类（如 ExpiredJwtException, SignatureException），并按业务逻辑返回明确错误码（如 401 Unauthorized）。
• 避免 none 算法：即使测试也不建议禁用签名验证（如 .requireNotExpired().verifyWith(...).build() 中跳过签名检查），这会破坏安全基线。

总结：JWT 不是“可选签名”的令牌格式，而是“默认必须签名”的安全凭证。通过严格遵循“构建与解析密钥一致、算法显式声明、密钥安全存储”三原则，即可彻底规避 UnsupportedJwtException，构建符合行业标准的身份认证流程。

今天带大家了解了的相关知识，希望对你有所帮助；关于文章的技术知识我们会一点点深入介绍，欢迎大家关注golang学习网公众号，一起学习编程~