17370845950

Java加密解密异常主因是环境、配置或算法兼容性问题，需按异常类型定位，并检查密钥、算法、填充方式、字符编码和JCE策略五要素。

Java加密解密异常通常不是代码写错了，而是环境、配置或算法兼容性出了问题。核心思路是：先定位异常类型，再检查密钥、算法、填充方式、字符编码和JCE策略这五个关键点。

看懂异常类型，快速缩小范围

常见异常有三类：

• NoSuchAlgorithmException：用的算法JVM根本不认识，比如写了"AES/GCM/NoPadding"但JDK 8默认不支持GCM（需JDK 8u191+或手动升级）
• InvalidKeyException：密钥长度不对（如AES用了13字节）、密钥对象类型错（把String当SecretKey用）、或密钥被意外修改过
• BadPaddingException / IllegalBlockSizeException：加解密用的算法参数不一致（比如加密用PKCS5Padding，解密写了PKCS7Padding），或数据被截断、乱码、Base64解码失败

密钥和初始化向量（IV）必须严格一致

对称加密中，加密和解密用的密钥字节数组必须完全相同（不是“看起来一样”），IV也一样。常见坑：

• 用String.getBytes()生成密钥，没指定字符集，不同系统结果不同 → 改用"UTF-8"显式指定
• IV每次加密都随机生成，但没保存或没传给解密方 → 必须和密文一起存储或传输（如拼在密文前、Base64后统一处理）
• 密钥硬编码为字符串，实际长度不符合AES-128（16字节）、AES-192（24字节）、AES-256（32字节）要求 → 用SecretKeySpec前先校验key.length

算法名称大小写、斜杠、空格一个都不能错

Java对算法字符串敏感，例如：

• "AES/CBC/PKCS5Padding" ✅（JDK标准写法）
• "aes/cbc/pkcs5padding" ❌（部分Provider可能忽略大小写，但不保证）
• "AES/CBC/PKCS#5Padding" ❌（#号非法）
• "AES/CBC/PKCS5Padding " ❌（尾部空格导致找不到）

建议直接复制Oracle文档的标准写法，或用Cipher.getInstance("AES/CBC/PKCS5Padding", "SunJCE")显式指定Provider避免歧义。

别忘了JCE Unlimited Strength策略文件（老JDK必需）

JDK 8u151之前，AES-256、RSA-4096等强算法默认被限制。如果报InvalidKeyException: Illegal key size，检查：

• JDK版本是否低于8u151 → 是的话，去Oracle官网下载对应JDK版本的JCE策略文件，替换$JAVA_HOME/jre/lib/security下的local_policy.jar和US_export_policy.jar
• JDK 8u151+或JDK 9+已默认放开 → 不用装，但需确认没被运维手动换回旧策略包
• 使用Bouncy Castle等第三方Provider时，要主动Security.addProvider(new BouncyCastleProvider())并指定Provider名

基本上就这些。加密本身不复杂，但每个环节都容易卡住——多打几行System.out.println输出密钥长度、算法名、Base64前后字节数，比查三天文档更管用。