使用JWT验证签名(java-jwt)

时间:2018-04-06 13:00:00

标签: java jwt

我必须使用java-jwt库验证签名,我有令牌和公钥,公钥从ssh-rsa AA开始............... 我必须使用RSA256算法,当我检查github后,我发现

Algorithm algorithm = Algorithm.RSA256(publicKey, privateKey);
JWTVerifier verifier = JWT.require(algorithm)
    .withIssuer("auth0")
    .build(); //Reusable verifier instance
DecodedJWT jwt = verifier.verify(token);

但我的公钥是以String的形式出现的,我没有私钥..请建议我如何验证签名。

3 个答案:

答案 0 :(得分:0)

如果您是令牌生成器,则必须使用用于生成令牌的私钥。

除非您拥有私钥,否则无法验证令牌。

如果您在客户端使用令牌,那么您无需验证它。

如果您只想在编写功能之前验证令牌,可以转到:

https://jwt.io/

如果你经历这个会很有帮助:

https://github.com/jwtk/jjwt

如果有人在服务器上请求资源,您可以执行以下操作:

try {

    Jwts.parser().setSigningKey(key).parseClaimsJws(compactJws);

    //OK, we can trust this JWT

} catch (SignatureException e) {

    //don't trust the JWT!
}

我希望这会有所帮助......

答案 1 :(得分:0)

这似乎是https://github.com/auth0/java-jwt的缺陷/局限,在这里看来您既需要公共密钥又需要私钥来验证签名。使用RSA256算法验证JWT时,不需要私钥。

这个用于处理JWT的备用Java库:https://github.com/jwtk/jjwt#reading-a-jws没有相同的限制,因此我建议改为使用它。

Jwts.parser()    
  .setSigningKey(publicKey) // <---- publicKey, not privateKey  
  .parseClaimsJws(jwsString);

答案 2 :(得分:0)

使用非对称密钥加密时,我们需要私钥来创建签名,并需要公钥来进行验证。 遇到您的问题

1。私人不存在

很好,您不需要私钥来验证签名。关于您正在使用的库,它的变量args。这意味着您只能根据签名/验证通过一个。下面是仅使用公钥的java方法。

    public boolean verifyToken(String token,RSAPublicKey publicKey){
    try {
        Algorithm algorithm = Algorithm.RSA256(publicKey, null);
        JWTVerifier verifier = JWT.require(algorithm)
                //more validations if needed
                .build();
        verifier.verify(token);
        return true;
    } catch (Exception e){
        System.out.println("Exception in verifying "+e.toString());
        return false;
    }
}

2。公钥采用字符串格式,而不是Java PublicKey格式。

您需要一种将公钥字符串文件转换为Java PublicKey格式的机制。下面是我可以建议的一种方法。 

    public static RSAPublicKey getPublicKeyFromString(String key) throws 
    IOException, GeneralSecurityException {

    String publicKeyPEM = key;

    /**replace headers and footers of cert, if RSA PUBLIC KEY in your case, change accordingly*/
    publicKeyPEM = publicKeyPEM.replace("-----BEGIN PUBLIC KEY-----\n", "");
    publicKeyPEM = publicKeyPEM.replace("-----END PUBLIC KEY-----", "");

    byte[] encoded = Base64.decodeBase64(publicKeyPEM);
    KeyFactory kf = KeyFactory.getInstance("RSA");
    RSAPublicKey pubKey = (RSAPublicKey) kf.generatePublic(new X509EncodedKeySpec(encoded));

    return pubKey;
    }
相关问题
最新问题