Spring Boot OAuth2 资源服务器:库如何在没有公钥的情况下验证 JWT 令牌?

【问题标题】:Spring Boot OAuth2 Resource Server: How library can verify JWT token without public key?Spring Boot OAuth2 资源服务器:库如何在没有公钥的情况下验证 JWT 令牌?
【发布时间】:2021-01-18 05:51:09
【问题描述】:

我有以下配置最少的 Spring Boot 应用程序

application.properties

server.port=8081
spring.security.oauth2.resourceserver.jwt.issuer-uri = http://localhost:8080/auth/realms/master

pom.xml

    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.3.4.RELEASE</version>
        <relativePath/> <!-- lookup parent from repository -->
    </parent>
    <groupId>com.nurgasemetey</groupId>
    <artifactId>springboot-keycloak</artifactId>
    <version>0.0.1-SNAPSHOT</version>
    <name>springboot-keycloak</name>
    <description>Demo project for Spring Boot</description>

    <properties>
        <java.version>1.8</java.version>
    </properties>

    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-oauth2-resource-server</artifactId>
        </dependency>

控制器

@RestController
@RequestMapping("/users")
public class UsersController {
    @GetMapping("/status/check")
    public String status(@AuthenticationPrincipal Jwt principal) {
        return "working";
    }
}

似乎 Spring Boot Oauth2 不使用公钥,正如我在代码中看到的那样:

OAuth2ResourceServerProperties

/**
         * JSON Web Key URI to use to verify the JWT token.
         */
        private String jwkSetUri;

        /**
         * JSON Web Algorithm used for verifying the digital signatures.
         */
        private String jwsAlgorithm = "RS256";

        /**
         * URI that can either be an OpenID Connect discovery endpoint or an OAuth 2.0
         * Authorization Server Metadata endpoint defined by RFC 8414.
         */
        private String issuerUri;

        /**
         * Location of the file containing the public key used to verify a JWT.
         */
        private Resource publicKeyLocation;

但是我没有给publicKeyLocation,但是app不用公钥也可以验证。

在底层它使用JwtIssuerValidatorJwtTimestampValidator 验证器。

另一方面,express-jwt,需要公钥才能离线验证

const express = require('express');
const jwt = require('express-jwt');
const app = express();
const secret = 'secret';
const fs = require('fs');
var publicKey = fs.readFileSync('public.pub');


app.get('/protected', jwt({ secret: publicKey, algorithms: ['RS256'] }), (req, res) => {
  res.send('protected');
})
app.listen(3000, () => console.log('server started'));

Spring Boot Oauth 如何在没有公钥的情况下进行验证?

【问题讨论】:

  • http://localhost:8080/auth/realms/master 提供什么?大多数令牌颁发者应该公开一个 /.well-known/openid-configuration 端点,Spring Boot 将尝试自动查找该端点。这个端点告诉 Spring Boot 如何找到 JWKS 端点,这是可以找到公钥的地方。
  • 是的,它公开了公钥。感谢您的澄清

标签: spring-boot spring-security jwt spring-oauth2 express-jwt


【解决方案1】:

自我回答。

首先,http://localhost:8080/auth/realms/master 似乎公开了公钥。正如Generate JWT Token in Keycloak and get public key to verify the JWT token on a third party platform - Stack Overflow 和@Thomas Kåsene 对这个问题的评论中所说的那样

其次,我挖了spring boot oauth2的代码,偶然发现了这段代码在

ReactiveOAuth2ResourceServerJwkConfiguration

@Bean
        @Conditional(IssuerUriCondition.class)
        ReactiveJwtDecoder jwtDecoderByIssuerUri() {
            return ReactiveJwtDecoders.fromIssuerLocation(this.properties.getIssuerUri());
        }

JwtDecoderProviderConfigurationUtils

private static Map<String, Object> getConfiguration(String issuer, URI... uris) {
        String errorMessage = "Unable to resolve the Configuration with the provided Issuer of " +
                "\"" + issuer + "\"";
        for (URI uri : uris) {
            try {
                RequestEntity<Void> request = RequestEntity.get(uri).build();
                ResponseEntity<Map<String, Object>> response = rest.exchange(request, typeReference);
                Map<String, Object> configuration = response.getBody();

                if (configuration.get("jwks_uri") == null) {
                    throw new IllegalArgumentException("The public JWK set URI must not be null");
                }

                return configuration;
            } catch (IllegalArgumentException e) {
                throw e;
            } catch (RuntimeException e) {
                if (!(e instanceof HttpClientErrorException &&
                        ((HttpClientErrorException) e).getStatusCode().is4xxClientError())) {
                    throw new IllegalArgumentException(errorMessage, e);
                }
                // else try another endpoint
            }
        }
        throw new IllegalArgumentException(errorMessage);
    }

这似乎从application.properties 中给出的issuer-uri 获取公钥。获取后,它会使用获取的公钥验证 jwt 令牌。

测试

关闭您的 jwt 提供程序,在我的情况下为 keycloak 并运行 spring boot 应用程序,然后它给出

Caused by: java.lang.IllegalArgumentException: Unable to resolve the Configuration with the provided Issuer of "http://localhost:8080/auth/realms/master"

【讨论】:

  • 也感谢您的提问和回答。虽然我很想知道微服务是一次还是每次请求都获取公钥?
  • Spring Boot 在启动时获取一次公钥。
  • 令牌验证发生在 Spring Boot 中,公钥从 KeyCloak 中获取。因此,在验证令牌时,它不会调用 KeyCloak。假设如果从 KeyCloak 中删除用户,即使令牌验证过程也会成功,因为它没有调用 KeyClock 端点来验证令牌,它只是在 Spring 引导中发生。如何处理这种情况?有没有办法在 Spring Boot 中针对 Auth Server(即 KeyCloak)进行令牌验证?
  • @ARods 我明白你的意思。解决它的一种方法是令牌的过期时间很短。就是这样,已经解决了。如果不适合你,可能需要集成 Keycloak SDK。
猜你喜欢
  • 2018-10-13
  • 2018-02-23
  • 2020-04-23
  • 2016-08-21
  • 2023-02-22
  • 2021-06-04
  • 2016-06-09
  • 2019-05-27
  • 2016-02-03
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode