我正在构建的API接收JWS令牌。我想让客户端设置kid头,这样我就可以提供密钥轮换。然而,可以理解的是,JJWT不允许我在提供公钥进行验证之前读取kid头:
A signing key must be specified if the specified JWT is digitally signed
但是我首先需要kid头来选择正确的“签名”密钥。有点鸡生蛋的问题。我应该如何处理这个问题?我是否只是要求我的客户机在JWS标头和普通HTTP标头中都提供KID值?
发布于 2019-06-03 07:02:19
啊,见鬼,已经找到了。对于这种特殊情况,JJWT使用SigningKeyResolver。它允许程序员检查头部或声明,如果需要这些来确定要使用的正确密钥。更多信息请点击此处:
https://stackoverflow.com/questions/56419381
复制相似问题