Java加密解密异常主因是环境、配置或算法兼容性问题,需按异常类型定位,并检查密钥、算法、填充方式、字符编码和JCE策略五要素。
Java加密解密异常通常不是代码写错了,而是环境、配置或算法兼容性出了问题。核心思路是:先定位异常类型,再检查密钥、算法、填充方式、字符编码和JCE策略这五个关键点。
看懂异常类型,快速缩小范围
常见异常有三类:
-
NoSuchAlgorithmException:用的算法JVM根本不认识,比如写了
"AES/GCM/NoPadding"但JDK 8默认不支持GCM(需JDK 8u191+或手动升级) - InvalidKeyException:密钥长度不对(如AES用了13字节)、密钥对象类型错(把String当SecretKey用)、或密钥被意外修改过
-
BadPaddingException / IllegalBlockSizeException:加解密用的算法参数不一致(比如加密用
PKCS5Padding,解密写了PKCS7Padding),或数据被截断、乱码、Base64解码失败
密钥和初始化向量(IV)必须严格一致
对称加密中,加密和解密用的密钥字节数组必须完全相同(不是“看起来一样”),IV也一样。常见坑:
- 用
String.getBytes()生成密钥,没指定字符集,不同系统结果不同 → 改用"UTF-8"显式指定 - IV每次加密都随机生成,但没保存或没传给解密方 → 必须和密文一起存储或传输(如拼在密文前、Base64后统一处理)
- 密钥硬编码为字符串,实际长度不符合AES-128(16字节)、AES-192(24字节)、AES-256(32字节)要求 → 用
SecretKeySpec前先校验key.length
算法名称大小写、斜杠、空格一个都不能错
Java对算法字符串敏感,例如:
-
"AES/CBC/PKCS5Padding"✅(JDK标准写法) -
"aes/cbc/pkcs5padding"❌(部分Provider可能忽略大小写,但不保证) -
"AES/CBC/PKCS#5Padding"❌(#号非法) -
"AES/CBC❌(尾部空格导致找不到)
/PKCS5Padding "
建议直接复制Oracle文档的标准写法,或用Cipher.getInstance("AES/CBC/PKCS5Padding", "SunJCE")显式指定Provider避免歧义。
别忘了JCE Unlimited Strength策略文件(老JDK必需)
JDK 8u151之前,AES-256、RSA-4096等强算法默认被限制。如果报InvalidKeyException: Illegal key size,检查:
- JDK版本是否低于8u151 → 是的话,去Oracle官网下载对应JDK版本的JCE策略文件,替换
$JAVA_HOME/jre/lib/security下的local_policy.jar和US_export_policy.jar - JDK 8u151+或JDK 9+已默认放开 → 不用装,但需确认没被运维手动换回旧策略包
- 使用Bouncy Castle等第三方Provider时,要主动
Security.addProvider(new BouncyCastleProvider())并指定Provider名
基本上就这些。加密本身不复杂,但每个环节都容易卡住——多打几行System.out.println输出密钥长度、算法名、Base64前后字节数,比查三天文档更管用。
