时间戳

首页 > 解决方案 > 如何获取 JWK 并在 JWT 签名中使用它们?

java - 如何获取 JWK 并在 JWT 签名中使用它们?

问题描述

我正在阅读这篇关于 JWT 的博客,以及如何使用它的签名部分来验证令牌实际上是由受信任方颁发的。

https://hackernoon.com/json-web-tokens-jwt-demystified-f7e202249640

JSON Web Key (JWK) 是一个 JSON 对象,其中包含一个众所周知的公钥,可用于验证已签名 JWT 的签名。

如果您的 JWT 的颁发者使用非对称密钥对 JWT 进行签名,它可能会托管一个名为 JSON Web Key Set (JWKS) 的文件。JWKS 是一个 JSON 对象,其中包含属性键,而属性键又包含一个 JWK 对象数组。

这是我的代码库中为我生成 JWT 的 java 代码片段:

new JwtBuilder().setClaims(claims).setExpiration(expiration).signWith(signatureAlgorithm, sharedSecret).compact();

我不太明白如何获得 JWK 以及如何使用它们进行签名?我在网上没有找到任何例子。

任何帮助将不胜感激。

标签: javaauthenticationjwtjwk

解决方案

每个开放的 id 服务器都必须为租户提供一个端点,如下所示:

  https://--YOUR DOMAIN----/.well-known/jwks.json

如果您访问此端点,您将看到 json 格式

{
  keys: [
    {
      alg: 'RS256',
      kty: 'RSA',
      use: 'sig',
      n: 'tTMpnrc4dYlD8MtmPnW3xZNbLxkaGCUwTqeKB4dfLg11dEpMyQEc4JRxUvRzp9tz00r6lkZ1ixcvIiuB_eMVckU8VyFSFWBSAxp5duBk6lRpYk-QjK3kEdPxYLxyW84gNzwMi-XW8zxJbsOa-cRM9sCb62Qz2yfWoQfimoFXsCnVHq496kizO7gZ972JefvTce1_n9dd_1p0K6c14qcCXtF6hbA_gQ0N7h3IyloBqiusKyTsV-ZrMZDldZkI-4v7s49TdcRZgEOvSapMz5YyoDvAWzuWGEiljkjkCOo0Mr5Sioi2x0dBm6nJ2WVYfZrwEF5J',
      e: 'AQAB',
      kid: 'NTY2MjBCNzQ1RTLPQzk3NzczRRTMQ0E4NzE2MjcwOUFCRkUwRTUxNA',
      x5t: 'NTY2MjBCNzQ1RTJPLzk3NzczRUNPO0E4NzE2MjcwOUFCRkUwRTUxNA',
      x5c: [Array]
    }
  ]
}

什么是 x5c?

“x5c”(X.509 证书链)头参数包含与用于对 JWS 进行数字签名的密钥对应的 X.509 公钥证书或证书链 [RFC5280]。证书或证书链表示为证书值字符串的 JSON 数组。数组中的每个字符串都是 base64 编码(不是 base64url 编码)DER [ITU.X690.2008] PKIX 证书值。包含与用于对 JWS 进行数字签名的密钥对应的公钥的证书必须是第一个证书。这之后可以是附加证书,每个后续证书都是用于证明前一个证书的证书。接收方必须根据 RFC 5280 [RFC5280] 验证证书链,如果发生任何验证失败,则认为证书或证书链无效。此标头参数的使用是可选的。

如果你检查 x5c 数组,你会看到很长的字符串。您必须获取此值并将它们分隔为每 64 个值。这很简单。这是一个例子:

          -----BEGIN CERTIFICATE-----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                -----END CERTIFICATE-----

因此,当您开始验证过程时:

//you get the token
//you decode the token
//you compare the kid which is in the header of the token

//jwk.kid the one that you get when you visit the /.well-known url above
if (jwk.kid === decodedToken.header.kid){
// in verification process you have to use the decoded code and the certificate 
// to verify the signature

}

此过程特定于“RS256”算法。RS256 生成非对称签名,这意味着必须使用私钥来签署 JWT,并且必须使用不同的公钥来验证签名。与对称算法不同,使用 RS256 可以保证 Auth0 是 JWT 的签名者,因为 Auth0 是唯一拥有私钥的一方。为了验证对称算法,您必须使用私钥。

推荐阅读