Bir gün sabah saatlerinde, bir API servisini geliştirmek için JWT (JSON Web Token) kullanıyordum. Her şey yolunda giderken bir anda, JWT token'ımı doğrulamaya çalışırken "Invalid Signature" hatası aldım. İlk başta ne olduğunu anlamadım, çünkü token doğru şekilde oluşturulmuş gibiydi. O an fark ettim ki, JWT ile ilgili en yaygın hatalardan birini karşıma çıkmışım. Hadi gelin, birlikte bu hatayı daha yakından inceleyelim ve çözüm yollarına göz atalım.
JWT Nedir?
Öncelikle, JWT nedir, biraz bahsedelim. JSON Web Token (JWT), kullanıcı kimlik doğrulaması ve veri aktarımı için kullanılan kompakt, güvenli bir token formatıdır. Genellikle API'ler ve web uygulamaları arasında güvenli veri alışverişi sağlamak için kullanılır. Bu token, üç ana kısımdan oluşur: header, payload ve signature.
- Header: Token’ın türünü (JWT) ve kullanılan algoritmayı belirtir.
- Payload: Token’ın taşıdığı veriler, genellikle kullanıcı bilgileri burada bulunur.
- Signature: Header ve Payload’u birleştirerek belirli bir algoritma ve gizli anahtar kullanarak imzalanan kısmıdır.
İşte bu son kısım, yani signature, JWT'nin güvenliğini sağlayan kritik unsurdur.
"Invalid Signature" Hatası Nedir?
JWT token'ları, header ve payload verilerini doğrulamak için bir imza kullanır. Eğer bu imza doğru değilse, yani signature kısmı hatalıysa, JWT doğrulama işlemi başarısız olur ve "Invalid Signature" hatası alırsınız.
Bu hata, genellikle şu durumlardan birinden kaynaklanır:
# 1. Hatalı Gizli Anahtar (Secret Key)
JWT'nin signature kısmı, bir gizli anahtar kullanılarak oluşturulur. Eğer bu gizli anahtar doğru bir şekilde kullanılmazsa, imza doğrulaması başarısız olur ve "Invalid Signature" hatasını alırsınız. Örneğin, token’ı oluştururken kullanılan anahtar ile doğrulama yaparken kullanılan anahtar farklıysa bu hatayı almanız çok olasıdır.
Çözüm: Token’ı doğrularken kullanılan gizli anahtarın, oluşturulurken kullanılan anahtar ile tam olarak aynı olduğundan emin olun. Bu, hatanın en yaygın sebeplerinden biridir.
# 2. Hatalı İmza Algoritması
JWT header kısmında belirttiğiniz algoritma ile token’ın imzası oluşturulurken kullanılan algoritma uyumsuz olabilir. Örneğin, bir taraf HS256 algoritmasını kullanarak token oluşturmuşken, diğer taraf RS256 algoritmasıyla doğrulama yapmaya çalışıyorsa, imza doğru olmayacak ve hata alırsınız.
Çözüm: JWT header kısmındaki algoritmanın doğru olduğundan emin olun. Bu algorimayı oluşturma ve doğrulama işlemlerinde her iki tarafın da aynı algoritmayı kullandığından emin olmalısınız.
# 3. Token'ın Manipülasyonu
Eğer bir JWT token’ı oluşturulduktan sonra başkası tarafından manipüle edilmişse, bu durumda da signature doğrulaması başarısız olur. Çünkü payload kısmındaki değişiklik, imzayı da geçersiz kılar.
Çözüm: Token’ı asla üçüncü şahıslarla paylaşmamalı ve mümkünse kısa süreli geçerlilik süreleri belirlemelisiniz. Token’larınızın manipülasyona karşı korunması önemlidir.
# 4. Expired Token
JWT token’ları genellikle belirli bir süre için geçerli olur. Eğer token süresi dolmuşsa ve siz bu token’ı doğrulamaya çalışıyorsanız, yine "Invalid Signature" hatası alabilirsiniz.
Çözüm: Token’larınızı belirli bir geçerlilik süresi içinde tutun ve süresi dolmuş token’ları geçerli saymayın. Token’larınızın süresinin dolmadığından emin olun.
"Invalid Signature" Hatası Nasıl Çözülür?
Şimdi, yukarıdaki nedenleri göz önünde bulundurarak, bu hatayı nasıl çözebileceğimize bakalım.
# Adım 1: Gizli Anahtarınızı Kontrol Edin
Eğer token’ınızı oluştururken kullanılan gizli anahtar ile doğrulama yaparken kullandığınız anahtar farklıysa, "Invalid Signature" hatası alırsınız. Token'ı doğrularken kullanılan gizli anahtar ve algoritmanın aynı olduğundan emin olun.
```js
const jwt = require('jsonwebtoken');
const secretKey = 'my_secret_key'; // Aynı gizli anahtarı kullanmalısınız
// Token oluşturma
const token = jwt.sign({ user: 'exampleUser' }, secretKey, { algorithm: 'HS256' });
// Token doğrulama
jwt.verify(token, secretKey, (err, decoded) => {
if (err) {
console.error('Invalid Signature');
} else {
console.log('Token is valid', decoded);
}
});
```
# Adım 2: Algoritma Uyumluluğunu Kontrol Edin
JWT doğrulama işleminde kullanılan algoritma ile token’ın oluşturulmasında kullanılan algoritmanın aynı olduğundan emin olun. Aksi takdirde, imza doğrulama başarısız olur.
```js
const jwt = require('jsonwebtoken');
// Token oluşturma
const token = jwt.sign({ user: 'exampleUser' }, secretKey, { algorithm: 'HS256' });
// Token doğrulama
jwt.verify(token, secretKey, { algorithms: ['HS256'] }, (err, decoded) => {
if (err) {
console.error('Invalid Signature');
} else {
console.log('Token is valid', decoded);
}
});
```
# Adım 3: Token Manipülasyonunu Önleyin
Token’larınızı asla başkalarıyla paylaşmayın ve mümkünse her token için kısa geçerlilik süreleri belirleyin. Ayrıca token’larınızı her zaman güvenli bir kanaldan iletin.
# Adım 4: Token Süresinin Dolmadığını Kontrol Edin
Token’ınızın süresi dolmuş olabilir. Eğer token’ın geçerliliği dolmuşsa, yeni bir token oluşturmanız gerekebilir.
```js
const token = jwt.sign({ user: 'exampleUser' }, secretKey, { expiresIn: '1h' }); // 1 saat geçerlilik süresi
```
Sonuç
"Invalid Signature" hatası, çoğu zaman küçük ama kritik hatalardan kaynaklanır. Gizli anahtarın uyumsuzluğu, algoritma hatası veya token manipülasyonu gibi sebeplerle karşılaşabilirsiniz. Yukarıda bahsettiğimiz çözüm yollarını uygulayarak, bu hatayı kolayca çözebilir ve JWT token doğrulama işlemini başarıyla gerçekleştirebilirsiniz.
Unutmayın, güvenlik her zaman önceliğiniz olmalı. Token’larınızı dikkatli bir şekilde kullanarak API’lerinizin güvenliğini sağlamalı ve her zaman güvenli bir yöntemle doğrulama yapmalısınız.
