如何获取JWK并将其用于JWT签名？

Question

如何获取JWK并将其用于JWT签名？

18

我正在阅读有关JWT的博客，了解如何使用其签名部分验证令牌是否由可信方实际发布。

https://hackernoon.com/json-web-tokens-jwt-demystified-f7e202249640

JSON Web Key（JWK）是一个JSON对象，其中包含一个众所周知的公钥，可用于验证已签名JWT的签名。

如果您的JWT发行者使用非对称密钥签署JWT，则可能会托管名为JSON Web Key Set（JWKS）的文件。 JWKS是包含属性键的JSON对象，属性键又包含JWK对象数组。

这是我的代码库中生成JWT的Java代码片段：

new JwtBuilder().setClaims(claims).setExpiration(expiration).signWith(signatureAlgorithm, sharedSecret).compact();

我不太明白如何获取JWK并如何用它们进行签名？我在网上没有找到任何示例。

非常感谢您的帮助。

- Ihor M.

1

您可以从创建JWT的机构（通常是/keys端点）下载该密钥。看起来您正在使用对称加密，而不是公钥加密；您的sharedSecret即为密钥。 - chrylis -cautiouslyoptimistic-

2个回答

0

package com.java;

import java.io.File;
import java.io.FileInputStream;
import java.io.FileNotFoundException;
import java.io.IOException;
import java.io.InputStream;
import java.security.KeyStore;
import java.security.KeyStoreException;
import java.security.NoSuchAlgorithmException;
import java.security.PrivateKey;
import java.security.UnrecoverableKeyException;
import java.security.cert.CertificateException;
import java.util.Enumeration;

import org.jose4j.json.internal.json_simple.parser.ParseException;
import org.jose4j.jwk.JsonWebKeySet;
import org.jose4j.jws.AlgorithmIdentifiers;
import org.jose4j.jws.JsonWebSignature;
import org.jose4j.jwt.JwtClaims;
import org.jose4j.jwt.MalformedClaimException;
import org.jose4j.jwt.consumer.InvalidJwtException;
import org.jose4j.jwt.consumer.JwtConsumer;
import org.jose4j.jwt.consumer.JwtConsumerBuilder;
import org.jose4j.keys.resolvers.JwksVerificationKeyResolver;
import org.jose4j.keys.resolvers.VerificationKeyResolver;
import org.jose4j.lang.JoseException;

public class JWTSigning2 {

    public static void main(String args[]) throws Exception {

        String jwt = generateJWT();
        validateJWTwithJWKS(jwt);
    }

    private static String generateJWT() throws FileNotFoundException, KeyStoreException, IOException,
            NoSuchAlgorithmException, CertificateException, UnrecoverableKeyException, JoseException {

        JwtClaims jwt_claims = new JwtClaims();

        jwt_claims.setSubject("sub");
        jwt_claims.setIssuer("https://domain");
        jwt_claims.setIssuedAtToNow();
        jwt_claims.setExpirationTimeMinutesInTheFuture(1000000);
        jwt_claims.setGeneratedJwtId();
        jwt_claims.setClaim("sid", "sessionid");
        jwt_claims.setClaim("email", "test@mail.com");
        jwt_claims.setClaim("given_name", "first");
        jwt_claims.setClaim("family_name", "last");

        JsonWebSignature jws = new JsonWebSignature();
        jws.setPayload(jwt_claims.toJson());
        String KeyPassword = "p12-key-password";
        File file = new File("path-to-key.p12");
        InputStream stream = new FileInputStream(file);
        KeyStore store = KeyStore.getInstance(KeyStore.getDefaultType());
        store.load(stream, KeyPassword.toCharArray());
        Enumeration e = store.aliases();
        String alias = (String) e.nextElement();
        PrivateKey key = (PrivateKey) store.getKey(alias, KeyPassword.toCharArray());
        jws.setKey(key);
        jws.setKeyIdHeaderValue("1");
        jws.setAlgorithmHeaderValue(AlgorithmIdentifiers.RSA_PSS_USING_SHA512);
        jws.setHeader("typ", "JWT");

        String jwt = jws.getCompactSerialization();
        System.out.println(jwt);

        return jwt;
    }

    private static void validateJWTwithJWKS(String jwt) throws JoseException, FileNotFoundException, IOException,
            ParseException, InvalidJwtException, MalformedClaimException {

        JsonWebKeySet jsonWebKeySet = new JsonWebKeySet("json-jwks-escaped");
        VerificationKeyResolver verificationKeyResolver = new JwksVerificationKeyResolver(jsonWebKeySet.getJsonWebKeys());

        JwtConsumer jwtConsumer = new JwtConsumerBuilder().setVerificationKeyResolver(verificationKeyResolver).build();

        JwtClaims claims = jwtConsumer.processToClaims(jwt);
        System.out.println("sub:- " + claims.getSubject());
    }

}

- Vivek Gulati

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- Yilmaz · Accepted Answer

每个开放ID服务器都需要为租户提供类似于以下的端点：

  https://--YOUR DOMAIN----/.well-known/jwks.json

如果您访问此终端，您将以JSON格式看到此内容。

{
  keys: [
    {
      alg: 'RS256',
      kty: 'RSA',
      use: 'sig',
      n: 'tTMpnrc4dYlD8MtmPnW3xZNbLxkaGCUwTqeKB4dfLg11dEpMyQEc4JRxUvRzp9tz00r6lkZ1ixcvIiuB_eMVckU8VyFSFWBSAxp5duBk6lRpYk-QjK3kEdPxYLxyW84gNzwMi-XW8zxJbsOa-cRM9sCb62Qz2yfWoQfimoFXsCnVHq496kizO7gZ972JefvTce1_n9dd_1p0K6c14qcCXtF6hbA_gQ0N7h3IyloBqiusKyTsV-ZrMZDldZkI-4v7s49TdcRZgEOvSapMz5YyoDvAWzuWGEiljkjkCOo0Mr5Sioi2x0dBm6nJ2WVYfZrwEF5J',
      e: 'AQAB',
      kid: 'NTY2MjBCNzQ1RTLPQzk3NzczRRTMQ0E4NzE2MjcwOUFCRkUwRTUxNA',
      x5t: 'NTY2MjBCNzQ1RTJPLzk3NzczRUNPO0E4NzE2MjcwOUFCRkUwRTUxNA',
      x5c: [Array]
    }
  ]
}

x5c是什么？

"x5c"（X.509证书链定义了公钥证书的格式和用法）头参数包含与用于数字签名JWS的密钥相对应的X.509公钥证书或证书链[RFC5280]。证书或证书链表示为证书值字符串的JSON数组。数组中的每个字符串都是base64编码（而不是base64url编码）的DER [ITU.X690.2008] PKIX证书值。包含与用于数字签名JWS的密钥相对应的公钥的证书必须是第一个证书。这可以后跟其他证书，其中每个后续证书都是用于验证前一个证书的证书。根据RFC 5280 [RFC5280]验证证书链，并在发生任何验证失败时将证书或证书链视为无效。使用此头参数是可选的。

如果您检查x5c数组，您会看到非常长的字符串。您必须获取此值并为每个64个字符分隔它们。它非常简单。这里是一个例子：

因此，当您开始验证过程时：

//you get the token
//you decode the token
//you compare the kid which is in the header of the token

//jwk.kid the one that you get when you visit the /.well-known url above
if (jwk.kid === decodedToken.header.kid){
// in verification process you have to use the decoded code and the certificate 
// to verify the signature

}

此过程特定于“RS256”算法。RS256生成一个非对称签名，这意味着必须使用私钥来对JWT进行签名，并且必须使用不同的公钥来验证签名。与对称算法不同，使用RS256可以确保Auth0是JWT签名者，因为Auth0是唯一拥有私钥的一方。对于验证对称算法，您必须使用私钥。