使用 vertx 在 JWT 公钥/私钥身份验证中握手

Question

我创建了一个小型 vertx 身份验证服务器，它使用公钥/私钥签名/生成 JWT 令牌。

        PrivateKey privateKey = CertUtil.getPrivateKey("config/private_key.der");
        PublicKey publicKey = CertUtil.getPublicKey("config/public_key.der");

        // Create a JWT Auth Provider
        JWTAuth jwt = JWTAuth.create(vertx, new JWTAuthOptions()
                .setPubSecKeys(List.of(new PubSecKeyOptions()
                        .setAlgorithm("RS256")
                        .setPublicKey(Base64.getEncoder().encodeToString(publicKey.getEncoded()))
                        .setSecretKey(Base64.getEncoder().encodeToString(privateKey.getEncoded())))));
        // protect the API
        router.route("/api/*").handler(JWTAuthHandler.create(jwt, "/api/new-token"));

        // this route is excluded from the auth handler
        router.get("/api/new-token").handler(ctx -> this.generateAndSendToken(ctx, jwt));

        // this is the secret API
        router.get("/api/protected").handler(ctx -> {
            ctx.response().putHeader("Content-Type", "text/plain");
            ctx.response().end("a secret you should keep for yourself...");
        });

        vertx.createHttpServer().requestHandler(router).listen(8080);

现在，当我从客户端访问 /api/new-token 时，我会从上面的身份验证服务器获得一个 JWT 令牌。但是我有一些悬而未决的问题：

• auth-server 如何确保客户端拥有服务器公钥并且是真实的？
• 客户端如何将公钥发送到身份验证服务器？
• 如何使 /api/new-token 安全，以便只有合法客户端才能连接到它？

Answer 1

为什么不将此任务委托给KeyCloak 一个开源身份和访问管理。它将身份验证添加到您的应用程序中，并以最少的麻烦保护服务。

我们已经在我们的项目中使用了它并且效果很好！

要使用 Vert.x 插入它，您可以按照以下教程进行操作：

• https://vertx.io/blog/vertx-3-and-keycloak-tutorial/
• https://medium.com/@alexpitacci/vert-x-and-keycloak-working-together-9d459a5ebd9e
• http://paulbakker.io/java/jwt-keycloak-angular2/
• https://piotrminkowski.wordpress.com/2017/09/15/building-secure-apis-with-vert-x-and-oauth2/