[error] HS256 알고리즘 사용시 에러

▤ 목차

 

 

 

✔ 제목1

사용자 시크릿키를 사용했는데, 개발단계이기때문에 아무생각없이 가장 기본인 1234로 지정했다.

"로컬이니 보안은 상관없으니깐~" 이라 생각했지만

이로 인한 에러가 나타났다.

⌨ 에러메시지

The signing key's size is 32 bits which is not secure enough for the HS256 algorithm.
The JWT JWA Specification (RFC 7518, Section 3.2) states
that keys used with HS256 MUST have a size >= 256 bits
(the key size must be greater than or equal to the hash output size). 
Consider using the io.jsonwebtoken.security.
Keys class's 'secretKeyFor(SignatureAlgorithm.HS256)' method to create a key guaranteed to be secure enough for HS256.
See https://tools.ietf.org/html/rfc7518#section-3.2 for more information.

 

💻 해결

에러는 HS256 알고리즘에 사용할 secretKey의 길이가 너무 짧아 보안 수준을 충족하지 못할 때 발생한다.

 

사용자 정의 키로 하려면 

반드시 32자 이상의 Base64 인코딩 문자열을 사용해야 한다.

 

32비트 키는 너무 짧아 인증이 실패하면 위와 같은 에러가 나온다.

 

👏 중요

예전에도 해당 에러를 마주한 적이 있는데,

역시 인간은 같은 실수를 반복한다. 

반복하다보면 외우겠지..하는 생각