我正在实现必应返现功能。为了验证来自Bing的请求是否有效,他们提供了一个签名。该签名是使用RSA加密的URL的160位SHA-1哈希值。
微软提供了RSA“公钥”,包括模数和指数,以便我可以解密哈希。
是否有办法创建Java密钥对象以按照Microsoft的说法解密哈希?
我找到的所有内容都会自动生成RSA密钥对,因为这是RSA的工作方式。如果可能的话,我真的很想使用Java对象,因为这显然比手工编码的解决方案更可靠。
他们提供的示例代码是.NET的,并使用.NET库函数来验证哈希。具体来说,是RSACryptoServiceProvider.VerifyHash()。
RSAPublicKeySpec spec = new RSAPublicKeySpec(modulus, exponent);
KeyFactory factory = KeyFactory.getInstance("RSA");
PublicKey pub = factory.generatePublic(spec);
Signature verifier = Signature.getInstance("SHA1withRSA");
verifier.initVerify(pub);
verifier.update(url.getBytes("UTF-8")); // Or whatever interface specifies.
boolean okay = verifier.verify(signature);
类似这样的代码应该可以解决问题:
private PublicKey convertPublicKey(String publicKey) throws Exception{
PublicKey pub = null;
byte[] pubKey = Hex.decodeHex(publicKey.toCharArray());
X509EncodedKeySpec pubSpec = new X509EncodedKeySpec(pubKey);
KeyFactory keyFactory = KeyFactory.getInstance("RSA");
pub = (RSAPublicKey) keyFactory.generatePublic(pubSpec);
return pub;
}
假设公钥以十六进制字符串的形式给出,并且您需要使用 Apache Commons Codec 库。
如果您的密钥格式不同,请尝试使用 KeyFactory 获取更多信息。
n和e所需的BigInteger,请使用new BigInteger(1, org.springframework.util.Base64Utils.decodeFromUrlSafeString((String) key.get("n")))(或支持URL安全解码的其他Base-64库) - 强调将1作为BigInteger的signum。 - Janaka Bandara