JSON Web签名(Ninbus-JOSE-JWT)

时间:2017-08-24 07:04:56

标签: json jwt json-web-token

我想用JSON Web签名(JWS)做一个项目,我想发送用于签名的证书的公钥,以便一旦收到该公钥,就可以验证该消息。我正在使用Ninbus JOS JWT库。我可以签署JSON对象,我可以看到公钥,但我无法正确验证它。 这是代码:

// Create RSA-signer with the private key
JWSSigner signer = new RSASSASigner(_signatureKey_);                                                    // PrivateKey

com.nimbusds.jose.util.Base64 b64 = new com.nimbusds.jose.util.Base64(_x509certificate.toString());     // X509Certificate
ArrayList<com.nimbusds.jose.util.Base64> certificados = new ArrayList<com.nimbusds.jose.util.Base64>();
certificados.add(b64);

RSAPublicKey _rsaPublicKey = (RSAPublicKey)_x509certificate.getPublicKey();  // Get the public key of the X509Certificate
RSAKey jwk = new com.nimbusds.jose.jwk.RSAKey.Builder( new Base64URL( _rsaPublicKey.getModulus().toString()),  new Base64URL( _rsaPublicKey.getPublicExponent().toString()))
    .x509CertChain(certificados)
    .build();

JWSHeader _jwsHeader = new JWSHeader.Builder(JWSAlgorithm.RS256).
    x509CertChain(certificados).
    jwk(jwk).
    build();

// Prepare JWS object with simple string as payload
JWSObject jwsObject = new JWSObject(_jwsHeader, new Payload(_jsonObject));

// Compute the RSA signature
jwsObject.sign(signer);

// Validation OK : This validation works
JWSVerifier verifier = new RSASSAVerifier(_rsaPublicKey);
boolean signatureValid = jwsObject.verify(verifier);        // ---> True, OK


// Now I want to validate the JWSObject getting the public key from the same JWSObject. This validation Fails
JWK _jwk = jwsObject.getHeader().getJWK();
RSAKey _rsakey = (RSAKey)_jwk; 
RSAPublicKey _rsaPublicKey2 = _rsakey.toRSAPublicKey();

JWSVerifier verifier2 = new RSASSAVerifier(_rsakey.toRSAPublicKey());
boolean verificado2 = jwsObject.verify(verifier2);      // False!

// Another option, this fails too
RSAKey __rsaKey2 = new com.nimbusds.jose.jwk.RSAKey.Builder( _rsakey.toRSAPublicKey() ).x509CertChain(_jwk.getX509CertChain()).build();
JWSVerifier verifier3 = new RSASSAVerifier(__rsaKey2);
boolean verificado3 = jwsObject.verify(verifier3);      // False!

_rsaPublicKey是:“Sun RSA公钥,2048位”,但是当我从JWK(_rsaPublicKey2)获取它时,我得到“Sun RSA公钥,3696位”,我不知道为什么。

谢谢!

1 个答案:

答案 0 :(得分:1)

在收件人方面,您是否在信任密钥之前验证X.509证书颁发者,主题和链?在收件人确定它可以信任JWS中包含的证书之前,不得尝试进行签名验证。

另一个注意事项:不要在JWS标头中包含公共JWK。这应仅用于ECDH中的短暂公钥(用于JWE的不同alg)。在JWS头中传递证书链就足够了,但在使用其公钥之前,您必须验证它/找出证书是否可信任。

图书馆不会验证/确定您是否可以信任证书!

如果第二个签名验证失败,那么用于签署JWS的密钥和X.509证书附带的密钥可能不相同(由不同的报告长度建议 - 2048位与3696位)

相关问题
最新问题