這可能是不可能的，但讓我們盡管如此探索一些可能性。

請注意，是否完全支持這些可能性取決于令牌類型和軟件/提供商，但您當然可以嘗試。

直接使用引用可能是不可能的，因為您必須能夠使用 HSM 操作。因此，即使您可以將密鑰嵌入到SecretKey對象中，您仍然無法使用它。您需要一個提供者特定的 API 來完成它。嘿，也許它存在。

PKCS#11 對象（包括密鑰）通常存儲在 HSM 或其他安全令牌上。秘密密鑰通常不容易提取。

您有時也可以通過將屬性設置CKA_EXTRACTABLE為 true（并CKA_SENSITIVE在生成期間設置為 false）來使密鑰可提取。這當然也會對密鑰的安全性產生負面影響。如果您可以使它起作用（取決于 PKCS# 11 令牌實現）那么你應該能夠將鍵值復制到內存中。

您也可以使用您已知的包裝密鑰來包裝密鑰，然后 HSM 以這種方式提取密鑰。

SecretKeySpec一旦您能夠獲取它以將其轉換為SecretKey.

通常，在本地生成密鑰更容易（在需要且可用的情況下，使用 HSM 的令牌隨機數生成器）。然后你可以導入它們并設置CKA_SENSITIVE為true之后。當然，如果您這樣做，CKA_ALWAYS_SENSITIVE將保持設置為false（CKA_NEVER_EXTRACTABLE并將保持設置為）。true

到目前為止，最簡單和最安全的方法是使用提供的提供者生成密鑰，在可用的情況下KeyGenerator放棄GenericSecretKey問題中的方法。但是，這回避了這個問題。