我正在构建的API接收JWS令牌。我想请客户设置孩子头,以便我可以提供密钥轮换。但是,可以理解的是,在提供公共密钥进行验证之前,JJWT不允许我读取kid标头:
A signing key must be specified if the specified JWT is digitally signed
但是我首先需要kid标头选择正确的“签名”键。有点鸡蛋和鸡蛋的问题。我应该如何处理?我是否只要求客户在JWS标头和普通HTTP标头中提供kid值?
答案 0 :(得分:0)
啊,哎呀,已经找到了。对于这种特殊情况,JJWT使用SigningKeyResolver。它使程序员可以检查标题或声明,以确定是否需要使用正确的密钥。此处更多: