ToB企服应用市场:ToB评测及商务社交产业平台

标题: keycloak~jwt的rs256签名的验证方式 [打印本页]

---

作者: 盛世宏图    时间: 2024-5-17 17:25
标题: keycloak~jwt的rs256签名的验证方式
接口地址

• keycloak开放接口地址：/auth/realms/fabao/.well-known/openid-configuration
  

rsa算法相干术语

RSA算法是一种非对称加密算法，其安全性基于大整数分解的困难性。在RSA算法中，有以下几个关键参数：

• n（模数）：n 是一个大整数，通常为两个大素数 p 和 q 的乘积，即 n = p * q。n 用于生成公钥和私钥，而且决定了加密息争密的盘算过程。
  
• e（公钥指数）：e 是一个与 φ(n) 互质的小整数，其中 φ(n) 是欧拉函数，表现小于 n 且与 n 互质的正整数的个数。e 在加密时利用，作为公钥的一部分。
  
• 公钥：公钥由 (n, e) 组成，其中 n 是模数，e 是公钥指数。公钥用于加密消息，任何人都可以获得公钥进行加密操作。
  
• 私钥：私钥由 (n, d) 组成，其中 n 是模数，d 是私钥指数。私钥用于解密已经被公钥加密的消息，只有私钥的持有者才能获得解密能力。
  

总结来说，RSA算法通过公钥加密、私钥解密的方式实现信息的安全传输，公钥用于加密数据，私钥用于解密数据；反过来，私钥可以用来生成签名，而公钥可以用来验证签名的有效性。
RSA和RS256

• RSA：RSA是一种非对称加密算法，可以用于数据的加密和数字签名。在RSA中，公钥和私钥是成对存在的，公钥用于加密数据或验证数字签名，私钥用于解密数据或生成数字签名。
  
• RS256：RS256是一种基于RSA算法的数字签名算法，其中“RS”代表RSA算法，“256”表现利用SHA-256哈希算法生成摘要。RS256常用于JWT（JSON Web Token）的数字签名过程中，用于验证数据的完整性和真实性。
  

因此，可以说RS256是RSA算法的一种特定应用，用于数字签名，而且结合了SHA-256哈希算法。RSA算法还可以用于加密数据等其他用途，而RS256主要用于数字签名。
获取keycloak颁发的公钥

• 从jwks公钥开放地址获取公钥 /auth/realms/fabao/protocol/openid-connect/certs
  

• 从keycloak后台获取公钥
  

keycloak中jwt的验证

• 在客户端验证keycloak的token是否在传输过程中被篡改，即签名验证是否通过
  
• 下面代码中定义了公钥字符串，从开放地址返回的rsa公钥的n模数和e指数
  
• 从kecloak认证中心颁发的公钥字符串
  
• 从如今有keycloak认证中心获取的jwt字符串
  

1. // RSA公钥的模数
2. String modulus = "yOCNCy8x280...";
4. // RSA公钥的指数
5. String exponent = "AQAB";
7. // keycloak拿到的公钥
8. String publicKeyString = "MIIBIjANBg...B";
10. String KcJwtToken = "eyJh...";

复制代码

• 根据公钥开放地址返回的公钥信息n和e来验证签名
  

1. @Test
2. public void verifySign() throws Exception {
3.         String[] jwtParts = KcJwtToken.split("\\.");
4.         String header = jwtParts[0];
5.         String payload = jwtParts[1];
6.         // 解码Base64格式的模数和指数
7.         byte[] decodedModulus = Base64.getUrlDecoder().decode(modulus);// getMimeDecoder()会忽略非Base64字符（如换行符、空格等）
8.         byte[] decodedExponent = Base64.getUrlDecoder().decode(exponent);
9.         // 构建RSA公钥对象
10.         RSAPublicKeySpec publicSpec = new RSAPublicKeySpec(new BigInteger(1, decodedModulus),
11.                         new BigInteger(1, decodedExponent));
12.         // 验征RSA签名
13.         PublicKey publicKey = KeyFactory.getInstance("rsa").generatePublic(publicSpec);
14.         boolean result = RSAUtils.verify(header + "." + payload, publicKey, jwtParts[2]);
15.         System.out.print("验签结果:" + result);
17. }

复制代码

• 根据keycloak后台颁发的公钥字符串来验证签名
  

1. // 根据认证平台颁发的公钥字符串来验证签名
2. @Test
3. public void verifyJwtToken() throws Exception {
4.         String[] jwtParts = KcJwtToken.split("\\.");
5.         String header = jwtParts[0];
6.         String payload = jwtParts[1];
7.         String sign = jwtParts[2];
8.         PublicKey publicKey = RSAUtils.getPublicKey(publicKeyString);
9.         boolean result = RSAUtils.verify(header + "." + payload, publicKey, sign);
10.         System.out.print("验签结果:" + result);
11. }

复制代码

需要注意的是，以上jwt的token签名利用rs256(SHA256withRSA)算法生成的签名，所以本例子都是采用这种签名算法实现的，例外，也有h256,h512等哈希算法。

keycloak支持的签名算法

1. public static final String RS256 = "SHA256withRSA";
2. public static final String RS384 = "SHA384withRSA";
3. public static final String RS512 = "SHA512withRSA";
4. public static final String HS256 = "HMACSHA256";
5. public static final String HS384 = "HMACSHA384";
6. public static final String HS512 = "HMACSHA512";
7. public static final String ES256 = "SHA256withECDSA";
8. public static final String ES384 = "SHA384withECDSA";
9. public static final String ES512 = "SHA512withECDSA";
10. public static final String PS256 = "SHA256withRSAandMGF1";
11. public static final String PS384 = "SHA384withRSAandMGF1";
12. public static final String PS512 = "SHA512withRSAandMGF1";
13. public static final String AES = "AES";
15. public static final String SHA256 = "SHA-256";
16. public static final String SHA384 = "SHA-384";
17. public static final String SHA512 = "SHA-512";

复制代码

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

---

欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/)

Powered by Discuz! X3.4