我已经完成了几乎所有步骤,以验证据称由Google发布的JWT的真实性。在最后一步之前,我有RSA的N和E参数,我将签名从base 64转换为原始字符串。
我用于RSA签名解码的库在成功时返回包含签名消息的字符串(如果签名不匹配则会引发错误)。然而,这个消息似乎是胡言乱语。有什么我应该用它吗?
编辑:这是我用来验证的伪代码。我知道第1步,第2步和第3步是正确的。我的问题涉及第4步和最后一步。
(header, payload, sig) = split_token (token)
(n, e) = find_key_parameters (header)
key = make_rsa_pub_key (n, e)
msg = rsa_pkcs1_decode (key, sig)