java - 使用 vertx 在 JWT 公钥/私钥身份验证中握手

问题描述

我创建了一个小型 vertx auth-server，它使用公钥/私钥签名/生成 JWT 令牌。

        PrivateKey privateKey = CertUtil.getPrivateKey("config/private_key.der");
        PublicKey publicKey = CertUtil.getPublicKey("config/public_key.der");

        // Create a JWT Auth Provider
        JWTAuth jwt = JWTAuth.create(vertx, new JWTAuthOptions()
                .setPubSecKeys(List.of(new PubSecKeyOptions()
                        .setAlgorithm("RS256")
                        .setPublicKey(Base64.getEncoder().encodeToString(publicKey.getEncoded()))
                        .setSecretKey(Base64.getEncoder().encodeToString(privateKey.getEncoded())))));
        // protect the API
        router.route("/api/*").handler(JWTAuthHandler.create(jwt, "/api/new-token"));

        // this route is excluded from the auth handler
        router.get("/api/new-token").handler(ctx -> this.generateAndSendToken(ctx, jwt));

        // this is the secret API
        router.get("/api/protected").handler(ctx -> {
            ctx.response().putHeader("Content-Type", "text/plain");
            ctx.response().end("a secret you should keep for yourself...");
        });

        vertx.createHttpServer().requestHandler(router).listen(8080);

现在，当我从客户端访问 /api/new-token 时，我会从上面的 auth-server 获得一个 JWT 令牌。但是我有一些悬而未决的问题：

• auth-server 如何确保客户端拥有服务器公钥并且是真实的？
• 客户端如何将公钥发送到 auth-server？
• 我怎样才能使 /api/new-token 安全，只有合法的客户端才能连接到它？

标签： javajwtrsapublic-key-encryptionvert.x