Выпущенная цель
Чтобы настроить /.well-known/jwks.json для моего весеннего сервера oauth2 jwt с действительным jwks.
1-я попытка
После весенней документации Я могу использовать поле Endpoint для JWK Set URI. Требуется:
@Import(AuthorizationServerEndpointsConfiguration.class)
Я добавил. Проверка сопоставленных конечных точек с помощью привода ничего не фильтрует для jw.
2-я попытка
Следуя той же конфигурации, я пытался использовать следующий код:
import com.nimbusds.jose.jwk.JWKSet;
import com.nimbusds.jose.jwk.RSAKey;
...
@FrameworkEndpoint
class JwkSetEndpoint {
KeyPair keyPair;
public JwkSetEndpoint(KeyPair keyPair) {
this.keyPair = keyPair;
}
@GetMapping("/.well-known/jwks.json")
@ResponseBody
public Map<String, Object> getKey(Principal principal) {
RSAPublicKey publicKey = (RSAPublicKey) this.keyPair.getPublic();
RSAKey key = new RSAKey.Builder(publicKey).build();
return new JWKSet(key).toJSONObject();
}
}
Производит
{
"keys" : [ {
"kty" : "RSA",
"e" : "AQAB",
"n" : "mWI2jtKwvf0W1hdMdajch-mFx9FZe3CZnKNvT_d0-2O6V1Pgkz7L2FcQx2uoV7gHgk5mmb2MZUsy_rDKj0dMfLzyXqBcCRxD6avALwu8AAiGRxe2dl8HqIHyo7P4R1nUaea1WCZB_i7AxZNAQtcCcSvMvF2t33p3vYXY6SqMucMD4yHOTXexoWhzwRqjyyC8I8uCYJ-xIfQvaK9Q1RzKRj99IRa1qyNgdeHjkwW9v2Fd4O_Ln1Tzfnk_dMLqxaNsXPw37nw-OUhycFDPPQF_H4Q4-UDJ3ATf5Z2yQKkUQlD45OO2mIXjkWprAmOCi76dLB2yzhCX_plGJwcgb8XHEQ"
} ]
}
Сбой pinging-сервера ресурсов с access_token:
{"error":"invalid_token","error_description":"Invalid JWT/JWS: kid is a required JOSE Header"}
3-я попытка
Изменение ответа для "/.well-known/jwks.json" (jwt.io helps detect algorithm used for jwt):
RSAKey key = new RSAKey.Builder(publicKey)
.keyID("1")
.keyUse(KeyUse.SIGNATURE)
.algorithm(JWSAlgorithm.RS256)
.build();
приводит к следующему ответу:
{
"keys" : [ {
"kty" : "RSA",
"e" : "AQAB",
"use" : "sig",
"kid" : "1",
"alg" : "RS256",
"n" : "mWI2jtKwvf0W1hdMdajch-mFx9FZe3CZnKNvT_d0-2O6V1Pgkz7L2FcQx2uoV7gHgk5mmb2MZUsy_rDKj0dMfLzyXqBcCRxD6avALwu8AAiGRxe2dl8HqIHyo7P4R1nUaea1WCZB_i7AxZNAQtcCcSvMvF2t33p3vYXY6SqMucMD4yHOTXexoWhzwRqjyyC8I8uCYJ-xIfQvaK9Q1RzKRj99IRa1qyNgdeHjkwW9v2Fd4O_Ln1Tzfnk_dMLqxaNsXPw37nw-OUhycFDPPQF_H4Q4-UDJ3ATf5Z2yQKkUQlD45OO2mIXjkWprAmOCi76dLB2yzhCX_plGJwcgb8XHEQ"
} ]
}
Pinging сервер ресурсов с access_token предоставляет тот же результат:
{"error":"invalid_token","error_description":"Invalid JWT/JWS: kid is a required JOSE Header"}
Вопрос
Есть какие-нибудь идеи или примеры, как настроить /.well-known/jwks.json для получения правильных jwks?
PS
- В случае использования ключа publi c в качестве локального ресурса на сервере ресурсов - он работает.
- Я буду рад любому работающему решению (возможно, кто-то знает различные
jwks библиотеки, которые могут быть использованы в приложении весенней загрузки).