接口地址
- keycloak开放接口地址:/auth/realms/fabao/.well-known/openid-configuration
rsa算法相干术语
RSA算法是一种非对称加密算法,其安全性基于大整数分解的困难性。在RSA算法中,有以下几个关键参数:
- n(模数):n 是一个大整数,通常为两个大素数 p 和 q 的乘积,即 n = p * q。n 用于生成公钥和私钥,而且决定了加密息争密的盘算过程。
- e(公钥指数):e 是一个与 φ(n) 互质的小整数,其中 φ(n) 是欧拉函数,表现小于 n 且与 n 互质的正整数的个数。e 在加密时利用,作为公钥的一部分。
- 公钥:公钥由 (n, e) 组成,其中 n 是模数,e 是公钥指数。公钥用于加密消息,任何人都可以获得公钥进行加密操作。
- 私钥:私钥由 (n, d) 组成,其中 n 是模数,d 是私钥指数。私钥用于解密已经被公钥加密的消息,只有私钥的持有者才能获得解密能力。
总结来说,RSA算法通过公钥加密、私钥解密的方式实现信息的安全传输,公钥用于加密数据,私钥用于解密数据;反过来,私钥可以用来生成签名,而公钥可以用来验证签名的有效性。
RSA和RS256
- RSA:RSA是一种非对称加密算法,可以用于数据的加密和数字签名。在RSA中,公钥和私钥是成对存在的,公钥用于加密数据或验证数字签名,私钥用于解密数据或生成数字签名。
- RS256:RS256是一种基于RSA算法的数字签名算法,其中“RS”代表RSA算法,“256”表现利用SHA-256哈希算法生成摘要。RS256常用于JWT(JSON Web Token)的数字签名过程中,用于验证数据的完整性和真实性。
因此,可以说RS256是RSA算法的一种特定应用,用于数字签名,而且结合了SHA-256哈希算法。RSA算法还可以用于加密数据等其他用途,而RS256主要用于数字签名。
获取keycloak颁发的公钥
- 从jwks公钥开放地址获取公钥 /auth/realms/fabao/protocol/openid-connect/certs
keycloak中jwt的验证
- 在客户端验证keycloak的token是否在传输过程中被篡改,即签名验证是否通过
- 下面代码中定义了公钥字符串,从开放地址返回的rsa公钥的n模数和e指数
- 从kecloak认证中心颁发的公钥字符串
- 从如今有keycloak认证中心获取的jwt字符串
- // RSA公钥的模数
- String modulus = "yOCNCy8x280...";
- // RSA公钥的指数
- String exponent = "AQAB";
- // keycloak拿到的公钥
- String publicKeyString = "MIIBIjANBg...B";
- String KcJwtToken = "eyJh...";
- @Test
- public void verifySign() throws Exception {
- String[] jwtParts = KcJwtToken.split("\\.");
- String header = jwtParts[0];
- String payload = jwtParts[1];
- // 解码Base64格式的模数和指数
- byte[] decodedModulus = Base64.getUrlDecoder().decode(modulus);// getMimeDecoder()会忽略非Base64字符(如换行符、空格等)
- byte[] decodedExponent = Base64.getUrlDecoder().decode(exponent);
- // 构建RSA公钥对象
- RSAPublicKeySpec publicSpec = new RSAPublicKeySpec(new BigInteger(1, decodedModulus),
- new BigInteger(1, decodedExponent));
- // 验征RSA签名
- PublicKey publicKey = KeyFactory.getInstance("rsa").generatePublic(publicSpec);
- boolean result = RSAUtils.verify(header + "." + payload, publicKey, jwtParts[2]);
- System.out.print("验签结果:" + result);
- }
- 根据keycloak后台颁发的公钥字符串来验证签名
- // 根据认证平台颁发的公钥字符串来验证签名
- @Test
- public void verifyJwtToken() throws Exception {
- String[] jwtParts = KcJwtToken.split("\\.");
- String header = jwtParts[0];
- String payload = jwtParts[1];
- String sign = jwtParts[2];
- PublicKey publicKey = RSAUtils.getPublicKey(publicKeyString);
- boolean result = RSAUtils.verify(header + "." + payload, publicKey, sign);
- System.out.print("验签结果:" + result);
- }
需要注意的是,以上jwt的token签名利用rs256(SHA256withRSA)算法生成的签名,所以本例子都是采用这种签名算法实现的,例外,也有h256,h512等哈希算法。
keycloak支持的签名算法
- public static final String RS256 = "SHA256withRSA";
- public static final String RS384 = "SHA384withRSA";
- public static final String RS512 = "SHA512withRSA";
- public static final String HS256 = "HMACSHA256";
- public static final String HS384 = "HMACSHA384";
- public static final String HS512 = "HMACSHA512";
- public static final String ES256 = "SHA256withECDSA";
- public static final String ES384 = "SHA384withECDSA";
- public static final String ES512 = "SHA512withECDSA";
- public static final String PS256 = "SHA256withRSAandMGF1";
- public static final String PS384 = "SHA384withRSAandMGF1";
- public static final String PS512 = "SHA512withRSAandMGF1";
- public static final String AES = "AES";
- public static final String SHA256 = "SHA-256";
- public static final String SHA384 = "SHA-384";
- public static final String SHA512 = "SHA-512";
|
