1. 首頁
  2. 問答
  3. 使用公共密鑰端點驗證JWT簽名

使用公共密鑰端點驗證JWT簽名

2017-06-19 136 views
5

我想驗證來自Microsoft的一些JWT的簽名。我正在使用Spring-Boot,JJWT庫和以下端點:https://login.microsoftonline.com/common/discovery/v2.0/keys使用公共密鑰端點驗證JWT簽名

端點返回一個JSON公鑰數組。 這是數組中的一個示例。

{ 
      "kty": "RSA", 
      "use": "sig", 
      "kid": "9FXDpbfMFT2SvQuXh846YTwEIBw", 
      "x5t": "9FXDpbfMFT2SvQuXh846YTwEIBw", 
      "n": "kvt1VmR4nwkNM8jMU0wmj2gSS8NznbOt2pZI6Z7HQT_esF7W19GZR7Y72Xo1i5zXRDM9o3GeTIjBrnr3yy41Q_EaUQ7C-b-Hmg94Vy7EBZyBhi_mznz0dYWs2MIXwR86Nni9TmgTXvjgTPF2YGJoZt4TwcMFefW8rijCVyNrCBA0XspDouNJavvG0BEMXYigoThFjLRXS5U3h4BDfNZFZZS3dyliNOXfgRn2k7oITz8h_ueiPvmDRFh38AeQgx1cELhKWc3P5ugtttraSwgH7nP2NUguO9nCrHuL6TZ-KWpmRWZqwH-jYKFQVt3CDpzwNM6XJL-oHbl1x-gI3YYX5w", 
      "e": "AQAB", 
      "x5c": [ 
       "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" 
      ], 
      "issuer": "https://login.microsoftonline.com/{tenantid}/v2.0" 
     }

在JJWT我已經實現了SigningKeyResolver接口,我需要返回RSAPublicKey的實例做了驗證。 我遇到的問題是從JSON正確創建該密鑰。

我是從模數和指數開始的嗎?

BigInteger modulus = new BigInteger(1, Base64.decodeBase64(jsonKey.getN())); 
BigInteger exponent = new BigInteger(1, Base64.decodeBase64(jsonKey.getE())); 
publicKey = KeyFactory.getInstance("RSA").generatePublic(new RSAPublicKeySpec(modulus, exponent));

我是否從x5c開始,生成一個X509Certificate對象並從那裏取出PublicKey?

CertificateFactory factory = CertificateFactory.getInstance("X.509"); 
X509Certificate cert = (X509Certificate) factory.generateCertificate(new ByteArrayInputStream(DatatypeConverter.parseBase64Binary(jsonKey.getX5c()))); 
publicKey = (RSAPublicKey)cert.getPublicKey();

這兩種方法都證明是徒勞的。

如果我從模數和指數生成RSAPublicKey,我應該能夠打印Base64Binary編碼密鑰來匹配x5c屬性?也許這不是我應該如何驗證。

我可能會誤解如何使用這個。

與往常一樣,任何文檔也是讚賞。

來源

2017-06-19 Ryan D

+3

我不知道這個標準,但顯然模量「n」和公共指數爲「E」。 x5c看起來像一個x509證書。編輯:[這裏](https://tools.ietf.org/html/rfc7517)似乎是規範。 –

+0

實際上,它看起來像第二種方法可行,可能是因爲那是完整的證書鏈。我仍然不清楚e,n和x5c之間的關係,因爲它從該終點返回。我看到其他端點只包含了證書鏈。無法在公鑰周圍找到Microsoft文檔。 –

回答

2

x5c包含認證鏈。鏈的所述第一證書必須與由在JWK其他值所表示的鍵的值相匹配,在這種情況下ne,因此公共密鑰從x5c[0]萃取,並且將一個用ne內置必須完全相同

JWK值以base64url編碼,而不是base64。更改

BigInteger modulus = new BigInteger(1, Base64.decodeBase64(jsonKey.getN())); 
BigInteger exponent = new BigInteger(1, Base64.decodeBase64(jsonKey.getE())); 


BigInteger modulus = new BigInteger(1, Base64.getUrlDecoder().decode(jsonKey.getN())); 
BigInteger exponent = new BigInteger(1, Base64.getUrlDecoder().decode(jsonKey.getE()));

來源

2017-06-20 07:42:59 pedrofb

+0

這有助於!提供的模數和指數對應於證書鏈中第一個證書的公鑰。 整個鏈都需要驗證簽名,而不僅僅是我最初嘗試的mod和exp。 –

相關問題

 相關問題