我正在尝试按照JOSE标准使用Java中的私钥/公钥编写一些代码来签名和验证有效负载。为此,我需要使用PS256加密算法。
我正在使用connect2id的库Nimbus JOSE + JWT。我可以达到可以使用从文件系统加载的私钥对有效负载进行签名的程度,并且还可以对其进行验证。但是,作为我的要求的一部分,标头需要具有“暴击”值(作为RFC-7515的一部分进行解释)。
我的问题如下:标头中一旦有“临界”值,我的令牌验证就会失败(即使按标准要求,即使jws标头中存在“临界”数组中的值) )。如果我取出“暴击”,则签名正确验证。
// create RSA key used for signing.
RSAKey rsaJWK = new RSAKey.Builder(pub)
.privateKey(priv)
.keyUse(KeyUse.SIGNATURE)
.algorithm(JWSAlgorithm.PS256)
.keyID("KeyID")
.build();
// Create RSA-signer with the private key
JWSSigner signer = new RSASSASigner(rsaJWK);
// setting critical values to be used in jws header
Set crit = new HashSet();
crit.add("myHeader");
// setting additional parameters for the jws header
Map myParams = new HashMap();
myParams.put("myHeader", false);
// build the jws header with all the values needed
JWSHeader jwsHeader = new JWSHeader.Builder(JWSAlgorithm.PS256)
.type(JOSEObjectType.JOSE)
.contentType("application/json")
.keyID("KeyID")
.criticalParams(crit)
.customParams(myParams)
.build();
// build the jws object with the header we created above and a static payload for now
JWSObject jwsObject = new JWSObject(jwsHeader, new Payload("{\"message\":\"In RSA we trust!!!\"}"));
// sign the payload
jwsObject.sign(signer);
// print out the token
String s = jwsObject.serialize();
System.out.println("Your token:" + s);
// To parse the JWS and verify it, e.g. on client-side
JWSObject jwsValObj = JWSObject.parse(s);
JWSVerifier verifier = new RSASSAVerifier(pub);
// verify the signature of the parsed token
boolean sigval = jwsValObj.verify(verifier);
System.out.println("Signature Validation passed: " + String.valueOf(sigval));
我期望签名能够正确验证,因为“暴击”中的值存在于给定的令牌中。
删除带有.criticalParams(crit)的行后,验证就可以顺利进行了。
有人可以帮我这个忙吗?我是误解了某些东西还是错过了一些明显的细节?
答案 0 :(得分:1)
在RFC 7515之后,必须由应用程序理解关键标头,因此您需要指示库,它们已推迟到应用程序进行处理
查看RSASSAVerifier源代码,尝试进行更改
JWSVerifier verifier = new RSASSAVerifier(pub);
与
JWSVerifier verifier = new RSASSAVerifier(pub,crit );