Question

Я новичок в проверке подлинности jwt и подписи. У меня был очень простой запрос c. Я генерирую токен из MSAL (AAD). Когда я использую токен в jwt.io, я вижу, что он автоматически заполняет секретный ключ и отмечает подпись как проверенную. Откуда jwt.io знает об этом?

СС из jwt.io

С точки зрения генерации токена я нигде не упоминал явно, чтобы генерировать токен с каким-либо секретом.

jps · Answer 1 · 13 июля 2020

Вы не показываете здесь детали своего токена (что нормально), но я предполагаю, что у токена есть kid и, возможно, также jku в заголовке.

The kid - это идентификатор ключа , а jku - JSON URL-адрес набора веб-ключей . Под этим URL-адресом (вы можете вставить его в свой браузер, чтобы увидеть) вы можете найти набор JWK (JSON Web Keys ), в основном набор publi c ключей в специальном формате. В случае токенов, выпущенных AAD, JWKS_URI можно найти на https://login.microsoftonline.com/common/v2.0/.well-known/openid-configuration.

JWT.io может прочитать эту информацию и найти ключ с данным kid и проверить

Этот Q / A более подробно объясняет проверку JWT, выданных AAD.

Jwt.io самостоятельно заполняет подпись

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Jwt.io самостоятельно заполняет подпись

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы