徹底告別 java.security.InvalidKeyException，輕松應(yīng)對不同 JDK 版本

引言

　　在 Java 開發(fā)過程中，我們經(jīng)常會遇到各種各樣的安全相關(guān)的問題。其中一個常見的問題是當使用 Java 的加密功能時遇到的 “Illegal key size or default parameters” 錯誤。本文將詳細介紹如何解決這一問題，包括問題的背景、原因分析、解決方案以及實踐步驟。

問題背景

 　　從Java 1.4引入JCE（Java Cryptography Extension）起，為了遵守美國出口管制法律，Oracle對默認JRE中的加密算法設(shè)置了限制，其中AES算法的最大密鑰長度被限制在128位。這意味著如果您嘗試使用192位或256位的AES密鑰，上述異常就會發(fā)生。

此限制影響了從Java 1.4至包括但不限于Java 8在內(nèi)的多個版本。盡管Java 11及之后的版本中JCE的概念已被淡化，不再作為單獨的擴展提供，但密鑰長度限制依舊存在，只是后來優(yōu)化了，默認支持更長的密鑰。

　　例如，對于 AES 加密算法，默認只允許使用 128 位的密鑰長度。這可能會導(dǎo)致在實際開發(fā)過程中遇到 java.security.InvalidKeyException: Illegal key size or default parameters 的異常。

問題影響版本

　　此問題最早出現(xiàn)在 Java 6 和 Java 7 中，因為這些版本默認對密鑰大小進行了嚴格的限制，使用大于 128 位的密鑰長度時也將會觸發(fā)此異常。從 JDK 8 Update 131 開始，這個問題已經(jīng)被默認解決了，即默認支持更大的密鑰大小。

　　注意事項

　　JDK 8 Update 131 及之后的版本默認包含了無限制的 JCE 策略文件。應(yīng)當是不會出現(xiàn)上述問題的。

　　確保在安裝無限制策略文件前了解相關(guān)的安全和合規(guī)要求，特別是在受監(jiān)管的環(huán)境中。

　　如果您使用的是 OpenJDK 或其他非 Oracle JDK 發(fā)行版，可能需要手動安裝這些策略文件，即使您的 JDK 版本高于 JDK 8 Update 131。沒嘗試，此問題可自行驗證

錯誤日志示例

假設(shè)你在使用 AES 加密時遇到了此問題，錯誤日志可能如下所示：

1 java.security.InvalidKeyException: Illegal key size or default parameters
2     at javax.crypto.Cipher.checkCryptoPerm(Cipher.java:1026)
3     at javax.crypto.Cipher.implInit(Cipher.java:801)
4     at javax.crypto.Cipher.chooseProvider(Cipher.java:864)
5     at javax.crypto.Cipher.init(Cipher.java:1249)
6     at javax.crypto.Cipher.init(Cipher.java:1186)
7     at com.ulic.claimService.util.Demo.aesEncrypt(Demo.java:204)
8     at com.ulic.claimService.util.Demo.main(Demo.java:57)

解決方案

　　要解決這個問題，需要下載并安裝 Java Cryptography Extension (JCE) 無限制強度管轄策略文件。下面是詳細的步驟：

確定你的 Java 版本：

　　打開命令行工具，運行 java -version 命令來確認你正在使用的 Java 版本。

下載 JCE 無限制強度管轄策略文件：

　　訪問 Oracle 官方網(wǎng)站下載適用于你的 Java 版本的 JCE 文件。

　　對于 Java 8，你可以訪問 這里 下載。

　　對于 Java 11 或更高版本，，默認已支持無限制的密鑰長度，無需下載配置相應(yīng)的 JCE 無限制策略文件。

替換現(xiàn)有的策略文件：

　　找到你的 Java 安裝目錄下的 lib/security 文件夾。路徑通常是 %JAVA_HOME%\jre\lib\security（Windows）或 $JAVA_HOME/jre/lib/security（Linux/Mac）。
　　在該目錄中，你會看到兩個文件：local_policy.jar 和 US_export_policy.jar。
　　使用從 Oracle 下載的相應(yīng)文件替換這兩個文件。(注意備份原文件)

重新啟動應(yīng)用程序：

　　替換文件后，確保重啟你的應(yīng)用程序以應(yīng)用新的策略文件。

　　再次運行你的程序，看看異常是否已經(jīng)消失。