问题描述
我正在创建一个 JWT 并使用存储在服务器私有证书存储中的 X509Certificate 对其进行签名(而不是加密)。
var signingCredentials = new SigningCredentials(new X509SecurityKey(nameOfX509Certificate2),SecurityAlgorithms.RsaSha256Signature);
var tokenDescriptor = new SecurityTokenDescriptor()
{
Subject = new ClaimsIdentity(new[] {
new Claim("Admin","YES",ClaimValueTypes.String)
}),Audience = "ValidAudience",Issuer = "Validissuer",Expires = DateTime.Now.AddMinutes(5),SigningCredentials = signingCredentials
};
JwtSecurityToken stoken = null;
var tokenHandler = new JwtSecurityTokenHandler();
stoken = tokenHandler.CreateJwtSecurityToken(tokenDescriptor);
var jwt = tokenHandler.Writetoken(stoken);
这是在服务器端完成的,令牌只与其他服务器上的应用程序共享服务器端等等。所以没有客户端签名。 我的问题是,此时,证书中的公钥是否用于签名?我的假设是这种情况,因为我们使用的是非对称 RSASHA256 算法?
下面是验证令牌的代码,同样是服务器端,使用与最初用于签名的证书相同的证书。 所以我的假设是私钥用于验证接收应用程序的令牌......正确吗?
jwt = "eyJxxxxxxxxxxxxxx...."
var signingKey = MyCertificateHelper.SigningKey(nameOfX509Certificate2); // Returns X509SecurityKey
var decryptKey = MyCertificateHelper.DecryptKey(nameOfX509Certificate2); // Returns X509SecurityKey
//Set up the parameters to validate the token
var tokenValidationParameters = new TokenValidationParameters
{
ValidAudiences = new[] { "ValidAudience" },Validissuers = new[] { "Validissuer" },IssuerSigningKey = signingKey,TokenDecryptionKey = decryptKey
};
// SecurityToken validatedToken;
var handler = new JwtSecurityTokenHandler();
principal = handler.Validatetoken(jwt,tokenValidationParameters,validatedToken: out var validatedToken);
不,这工作正常,我只想清除证书中用于签名和验证的密钥,因为我看到了相互矛盾的陈述。
非常感谢
解决方法
在非对称加密中:
加密:
- 公钥用于加密内容
- 私钥用于解密内容
签名:
- 私钥用于对内容进行签名
- 公钥用于验证签名
你的两个假设都是相反的。