使用 OpenSSL 生成一些 key ,然后将它们编码为 Base64 并获取它们,并尝试生成它们以验证 JWT 的身份验证。这是发生在我身上的代码和描述 使用以下命令生成:
openssl req -x509 -newkey rsa:4096 -keyout private_key.pem -out public_key.der
openssl pkcs12 -export -out keyStore.p12 -inkey private_key.pem -in public_key.der
base64 –w 0 private_key.pem > private_key_base64_enc.txt
base64 –w 0 public_key.der > public_key_base64_enc.txt
我从 Wildfly 保存到了Vault.keystore中:private_key_base64_enc.txt 和 public_key_base64_enc.txt
然后在我的 java 类中编写以下内容:
private void jwtSignedAuthentication(String token, PropName vaultBlockName) throws Exception
{
String rsa512Alias = vaultBlockName.getDefaultValue();
String rsa512pvt = VaultReader.getValue(rsa512Alias, "privateKey");
String rsa512pbc = VaultReader.getValue(rsa512Alias, "publicKey");
KeyFactory keyfatc = null;
PrivateKey privateKey = null;
PublicKey publicKey = null;
try {
keyfatc = KeyFactory.getInstance("RSA");
} catch (NoSuchAlgorithmException e) {
logger.error(e);
}
StringBuilder pkcs8Lines = new StringBuilder();
BufferedReader rdr = new BufferedReader(new StringReader(new String(Base64.getDecoder().decode(rsa512pvt.getBytes()))));
String line;
while ((line = rdr.readLine()) != null) {
pkcs8Lines.append(line);
}
// Remove the "BEGIN" and "END" lines, as well as any whitespace
String pkcs8Pem = pkcs8Lines.toString();
pkcs8Pem = pkcs8Pem.replace("-----BEGIN ENCRYPTED PRIVATE KEY-----", "");
pkcs8Pem = pkcs8Pem.replace("-----END ENCRYPTED PRIVATE KEY-----", "");
pkcs8Pem = pkcs8Pem.replaceAll("\\s+","");
byte[] dataPvt = Base64.getDecoder().decode(pkcs8Pem.getBytes());
PKCS8EncodedKeySpec specPvt = new PKCS8EncodedKeySpec(dataPvt);
byte[] dataPbc = Base64.getDecoder().decode(rsa512pbc.getBytes());
StringBuilder publicLinesBuilder = new StringBuilder();
BufferedReader readerPlubKey = new BufferedReader(new StringReader(new String(dataPbc)));
String lineP;
while ((lineP = readerPlubKey.readLine()) != null) {
publicLinesBuilder.append(lineP);
}
String pubK = publicLinesBuilder.toString();
pubK = pubK.replace("-----BEGIN CERTIFICATE-----", "");
pubK = pubK.replace("-----END CERTIFICATE-----", "");
pubK = pubK.replaceAll("\\s+","");
X509EncodedKeySpec specPbc = new X509EncodedKeySpec(Base64.getDecoder().decode(pubK.getBytes()));
try {
privateKey = keyfatc.generatePrivate(specPvt);
publicKey = keyfatc.generatePublic(specPbc);
} catch (InvalidKeySpecException e) {
logger.error(e);
}
Algorithm algorithm = Algorithm.RSA512((RSAPublicKey) publicKey, (RSAPrivateKey) privateKey);
// Creación de un verificador JWT
JWTVerifier verifier = JWT.require(algorithm).withIssuer(JWT_CLAIM_ISSUER).acceptLeeway(2).build();
UserContext userContext = new UserContext();
userContext.setUserName(JWT_CLAIM_ISSUER);
try {
// Decode JWT, verificación del token.
@SuppressWarnings("unused")
DecodedJWT decodeJwt = verifier.verify(token);
} catch (JWTDecodeException e) {
logger.error(e);
}
}
当我尝试生成 key 时,我返回 null:
privateKey = keyfatc.generatePrivate(specPvt);
publicKey = keyfatc.generatePublic(specPbc);
任何人都知道会发生什么。提前致谢
用于生成我的 JWT:
public ResteasyWebTarget getClientWebAgent(String host, String blockName) throws KeyStoreException
{
ResteasyClient clientBuilder = new ResteasyClientBuilder().establishConnectionTimeout(10, TimeUnit.SECONDS).socketTimeout(5, TimeUnit.SECONDS).build();
ResteasyWebTarget target = clientBuilder.target(host);
KeyPair keys = null;
try {
keys = keyStore.getKeys();
/*logger.infov(new String(Base64.getEncoder().encode(keys.getPrivate().getEncoded())));
logger.infov("****PUBLIC KEY ******");
logger.infov(new String(keys.getPublic().getEncoded()));*/
} catch (IOException e) {
logger.error(e);
}
Algorithm algorithm = Algorithm.RSA512((RSAPublicKey) keys.getPublic(), (RSAPrivateKey) keys.getPrivate());
Map<String, Object> headerClaims = new HashMap<>();
headerClaims.put("alg", "RS512");
headerClaims.put("typ", "JWT");
JWTCreator.Builder jwtCreator = JWT.create();
jwtCreator.withHeader(headerClaims);
jwtCreator.withIssuer(JWT_CLAIM_ISSUER);
jwtCreator.withIssuedAt(LocalDate.now().toDate());
jwtCreator.withExpiresAt(LocalDate.now().toDateTimeAtCurrentTime().plusSeconds(30).toDate());
String jwtToken = jwtCreator.sign(algorithm);
target.register(new BearerAuthenticator(jwtToken));
target.register(new LanguageHeaderToken(Locale.getDefault()));
return target;
}
最佳答案
您的“公钥”实际上是一个证书(具体来说是 X.509 v1 或 v3 证书,具体取决于您的 openssl 配置),它包含一个公钥,但与公钥不同 - 并且是 PEM 格式,即使您错误地将其命名为 .der
-- 并且您的私钥已加密。
除了使用 PKCS12 的方法之外,正如 Roberto 有效提出的那样,这通常是最简单的方法,因为它只需管理一个文件并且仍然是加密的,因此更安全:
Java 可以处理 X.509 证书,但您使用
CertificateFactory.getInstance("X.509")
并给它InputStream
而不是KeyFactory
和一个X509EncodedKeySpec
。CertificateFactory
可以处理PEM或DER,与KeyFactory
不同它只能处理 DER,因此您不需要 de-PEM(剥离 BEGIN/END/EOL 并解码 base64)部分。标准 Java 无法直接处理加密的 PKCS8 key 。如果您可以添加第三方库,BouncyCaSTLe 的 bcpkix可以这样做;搜索十几个使用
PEMParser
的现有 Q。 (不是PEMReader
,这是旧版本)和JceOpenSSLPKCS8DecryptorBuilder
。否则,您可以添加-nodes
给您req -newkey -x509
命令生成未加密的私钥文件,在解 PEM 后,它确实在KeyFactory
中工作与PKCS8EncodedKeySpec
。 (它仍然拼写为-nodes
,尽管几十年来,没有使用它的加密方式一直都不是简单的 DES。)当然,使用未加密的私钥文件意味着您系统上任何可以读取该文件的入侵者或恶意软件都可以获取您的信息。私钥,在很多情况下都是有风险的。最后,如果您真的只想要 key 对而不是证书,请不要为
req -newkey -x509
烦恼。 。而是使用openssl genpkey
生成私钥,或较旧但更简单的openssl genrsa -nodes
后跟(或通过管道传送到)openssl pkcs8 -topk8 -nocrypt
将其转换为 PKCS8 未加密格式。然后使用openssl pkey -pubout
或更旧的openssl rsa -pubout
使用公钥创建一个单独的文件。这些命令可以写入(并在适用的情况下读回)DER 格式而不是 PEM;如果您这样做,您的代码不需要 de-PEM 步骤,您只需将二进制文件内容传递到KeyFactory
。未加密文件的风险与上述相同。
关于java - 如何从 keystore 生成 PrivateKey 和 PublicKey (.p12),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/59740986/