使用 JWT (java-jwt) 验证签名

Question

我必须使用 java-jwt 库验证签名，我有令牌和公钥，公钥从 ssh-rsa AA 开始...... 而且我必须使用 RSA256 算法，当我检查 github 时，我发现如下

Algorithm algorithm = Algorithm.RSA256(publicKey, privateKey);
JWTVerifier verifier = JWT.require(algorithm)
    .withIssuer("auth0")
    .build(); //Reusable verifier instance
DecodedJWT jwt = verifier.verify(token);

但是我的公钥是字符串形式的，我没有私钥。请建议我如何验证签名。

Answer 1

当使用非对称密钥加密时，我们需要私钥来创建签名和公钥来验证。 来回答你的问题

1.私人不存在

没关系，你不需要私钥来验证签名。关于您正在使用的库，它的变量 args 。这意味着您可以根据签名/验证仅通过一个。下面是只使用公钥的java方法。

    public boolean verifyToken(String token,RSAPublicKey publicKey){
    try {
        Algorithm algorithm = Algorithm.RSA256(publicKey, null);
        JWTVerifier verifier = JWT.require(algorithm)
                //more validations if needed
                .build();
        verifier.verify(token);
        return true;
    } catch (Exception e){
        System.out.println("Exception in verifying "+e.toString());
        return false;
    }
}

2。公钥是字符串格式，不是 java PublicKey 格式。

您需要一种机制将您的公钥字符串文件转换为 Java PublicKey 格式。以下是我可以建议的一种方法。

    public static RSAPublicKey getPublicKeyFromString(String key) throws 
    IOException, GeneralSecurityException {

    String publicKeyPEM = key;

    /**replace headers and footers of cert, if RSA PUBLIC KEY in your case, change accordingly*/
    publicKeyPEM = publicKeyPEM.replace("-----BEGIN PUBLIC KEY-----\n", "");
    publicKeyPEM = publicKeyPEM.replace("-----END PUBLIC KEY-----", "");

    byte[] encoded = Base64.decodeBase64(publicKeyPEM);
    KeyFactory kf = KeyFactory.getInstance("RSA");
    RSAPublicKey pubKey = (RSAPublicKey) kf.generatePublic(new X509EncodedKeySpec(encoded));

    return pubKey;
    }

Answer 2

这似乎是https://github.com/auth0/java-jwt 的缺陷/限制，您似乎需要公钥和私钥来验证签名。使用 RSA256 算法验证 JWT 时不需要私钥。

这个用于处理 JWT 的备用 java 库：https://github.com/jwtk/jjwt#reading-a-jws 没有相同的限制，因此我建议改用它。

Jwts.parser()    
  .setSigningKey(publicKey) // <---- publicKey, not privateKey  
  .parseClaimsJws(jwsString);

Answer 3

如果您是令牌生成器，您必须拥有用于生成令牌的私钥。

除非您拥有私钥，否则您无法验证令牌。

如果您在客户端使用 Token，则无需验证。

如果您只想在编写功能之前验证令牌，您可以转到：

https://jwt.io/

如果你经历这个会很有帮助：

https://github.com/jwtk/jjwt

如果有人在服务器上请求资源，你可以这样做：

try {

    Jwts.parser().setSigningKey(key).parseClaimsJws(compactJws);

    //OK, we can trust this JWT

} catch (SignatureException e) {

    //don't trust the JWT!
}

我希望这会有所帮助...