jwt - jwt.io 从哪里获取 JWT 令牌的公钥？

Question

我正在通过jwt.io（在调试器部分）解码 JWT 令牌以查看标头、有效负载。令人惊讶的是，它也得到了验证，我可以看到它（jwt.io 调试器）也能够检索公钥。

所以我的问题是：JWT 令牌是否提供公钥以及 JWT 令牌的一部分？

我正在粘贴其中的一部分（由于安全原因无法完整粘贴，将截断实际 JWT 令牌的一部分）

F3cy5jb21cL2V1LXdlc3QtMV9ZckVRYjY5Z1giLCJleHAiOjE2MDE2Mzg4OTMsImlhdCI6MTYwMTYzNTI5MywidmVyc2lvbiI6MiwianRpIjoiNmI2YmZiNmYtY2M0MS00N2Q5LWI0YzYtOTBmOGFmNWM2MjQ1IiwiY2xpZW50X2lkIjoiMTM0MWxxa3N1ZmUwbm1vaW9kdnRjc2t2cWIifQ.RtKfz54uBgSZ1gc4KRPjzL4dPe5AbH2YMJu-DDvIxBzgMjqT9q4ApGzcWYB62-MgDUf-F_hK0kF9eIwAi9fARhp 0HGGnyiuydW_our6zE3EphLvXQByTDY5xzOUuSvt7WbDZWeSfpHcjrBttRSJAPOsZ2gInafKjZgWKyGL4vJB9swEhOMSSpTQDGWKenJCyp4emhe8E4XGzYTo9WEb-Wqg6sI__LrusDNd917FaocPKBxA

解码的消息（再次被截断）

标头

{
  "kid": "cJ0PzkBXPyjX7FM67jcOECIY=",
  "alg": "RS256"
}

有效载荷：

{
  "sub": "13lqs0moiodvtcskvqb",  
  "token_use": "access",  
  "scope": "example.com/Manage",  
  "auth_time": 1601293,  
  "iss": "https://cognito.eu.amazonaws.com/",  
  "exp": 1601638,  
  "iat": 10353,  
  "version": 2,  
  "jti": "cc1-47d9-b6-5c6245",  
  "client_id": "nmodvtcb"  
}

在那里，可以看到公钥（截断）

jwt.io 中的调试器从哪里检索公钥？我无法理解这一点。

score 10 · Accepted Answer

令牌包含令牌的颁发者 (iss) 和密钥 id (kid)，它标识验证签名所需的公钥有了这些信息，jwt.io 可以找到 JWK ( JSON形式的公钥Web Key ) 在 JWKS 端点 (/.well-known/jwks.json) 上，以验证令牌。JWKS ( JSON Web Key Set ) 包含一个 JWK 数组，链接显示了一个示例。

根据cognito 文档，当您使用 Amazon 用户池对用户进行身份验证时，会使用此机制。

通过 jwks 端点提供密钥是一种标准机制，其他提供商也使用该机制，例如 Microsoft Azure。

score 6 · Accepted Answer

我自己也一直在努力理解这一点。如果您打开开发人员工具并在将令牌粘贴到调试器页面时看到 jwt.io 发出的请求，您会看到它发出了额外的请求。

在我看来，问题是：

"iss": "http://localhost:8080/auth/realms/myrealm"

因此 jwt.io 添加了标准路径/.well-known/openid-configuration并发出 XHR 请求

http://localhost:8080/auth/realms/myrealm/.well-known/openid-configuration

它在 json 中找到了很多信息，其中有 jwks_uri

{
...
"jwks_uri": "http://localhost:8080/auth/realms/myrealm/protocol/openid-connect/certs",
...
}

然后对上面的 url 有另一个 XHR 请求，响应是 jwks。拥有该公钥，jwt.io 可以验证令牌。至少我认为会发生这种情况。

jwt - jwt.io 从哪里获取 JWT 令牌的公钥？

2 回答 2

Related

Reference