使用JJWT读取JWS标头之前需要JWS kid标头

时间:2019-06-02 22:27:20

标签: jwt public-key jjwt

我正在构建的API接收JWS令牌。我想请客户设置孩子头,以便我可以提供密钥轮换。但是,可以理解的是,在提供公共密钥进行验证之前,JJWT不允许我读取kid标头:

A signing key must be specified if the specified JWT is digitally signed

但是我首先需要kid标头选择正确的“签名”键。有点鸡蛋和鸡蛋的问题。我应该如何处理?我是否只要求客户在JWS标头和普通HTTP标头中提供kid值?

1 个答案:

答案 0 :(得分:0)

啊,哎呀,已经找到了。对于这种特殊情况,JJWT使用SigningKeyResolver。它使程序员可以检查标题或声明,以确定是否需要使用正确的密钥。此处更多:

https://github.com/jwtk/jjwt#jws-read-key-resolver