堆棧內存溢出
  簡體   English   中英

為什么 JWS 簽名驗證失敗?

[英]Why is verification failing for a JWS signature?

 原文  2020-12-29 13:59:00       java/ jwt/ open-banking

問題描述

我正在嘗試使用 Java 中的 Nimbus JOSE JWT 庫使用分離的有效負載對消息進行簽名。驗證在本地進行,但每當我嘗試使用 Postman 將其發送到服務器時,我得到: "The signature header x-jws-signature was parsed and has a valid JOSE header that complies with the specification. However, the signature itself could not be verified"

 JWSSigner signer = new RSASSASigner(privateKey);

        HashMap<String, Object> criticalParameters = new HashMap<>();
        criticalParameters.put("http://openbanking.org.uk/iat", 1501497671);
        criticalParameters.put("http://openbanking.org.uk/iss", orgId);
        criticalParameters.put("http://openbanking.org.uk/tan", "openbankingtest.org.uk");

        JWSHeader header = new JWSHeader.Builder(JWSAlgorithm.PS256)
                .type(JOSEObjectType.JOSE)
                .keyID(keyID)
                .criticalParams(criticalParameters.keySet())
                .customParams(criticalParameters)
                .build();

        // With encoding the payload
        JWSObject jwsObject = new JWSObject(header, payload);
        jwsObject.sign(signer);

        String jws = jwsObject.serialize(true);


        JWSObject parsedJWSObject = JWSObject.parse(jws, payload);

        if (parsedJWSObject.verify(new RSASSAVerifier(publicKey, criticalParameters.keySet()))) {
            System.out.println(parsedJWSObject.serialize(true));
        } else {
            System.out.println("Invalid");
        }
        //=============================

        // Without encoding the payload
        Base64URL signature = signer.sign(header, (header.toBase64URL().toString() + "." + payload).getBytes());
        JWSVerifier verifier = new RSASSAVerifier(publicKey, criticalParameters.keySet());

        boolean isValid = verifier.verify(header, (header.toBase64URL().toString() + "." + payload).getBytes(), signature);
        System.out.println(header.toBase64URL().toString() + ".." + signature.toString());
        System.out.println(isValid);
        //=============================

這兩個函數都成功地簽署並驗證了 JWS,但由於某種原因,它不起作用。 如果有幫助,我正在嘗試訪問 Open Banking API。

2 個解決方案

解決方案1
 0  2021-11-25 17:36:50

最近遇到了類似的問題。 我建議您檢查以下內容:

  • 請求中的負載是否與用於 JW 簽名的負載完全相同(沒有 escaping 或格式化字符)?
  • 有效負載中 JSON 屬性的順序是什么?當涉及到這些 JSON 字段的順序時,您嘗試與之交互的金融實體是否有特定要求?

我知道期望有效負載中的 json 屬性按特定順序排列是非常值得懷疑的,但根據經驗,我發現一些開放式銀行實現采用特定順序(甚至不是字母順序),當訂單不是他們期望的。

解決方案2
 0  2023-01-06 05:58:55

JWSHeader header = new JWSHeader.Builder(JWSAlgorithm.PS256)
            .type(JOSEObjectType.JOSE)
            .keyID(keyID)
            .criticalParams(criticalParameters.keySet())
            .customParams(criticalParameters)
            .build();
     //simplyfy your payload json string before..remove all spaces.
      Gson gson = new GsonBuilder().disableHtmlEscaping().create();
     JsonElement el = JsonParser.parseString(payload);
    String simplePayload=gson.toJson(el);
    // With encoding the payload
    Payload detachedPayload =new Payload(new Base64URL(simplePayload).toString());
    JWSObject jwsObject = new JWSObject(header, detachedPayload );
    jwsObject.sign(signer);

    String jws = jwsObject.serialize(true);

  JWSObject parsedJWSObject = JWSObject.parse(jws, detachedPayload );

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 數字簽名驗證失敗-Java 如何使用RSA創建JSON Web簽名(JWS) 為什么遠程服務器上的簽名驗證比在設備上更安全? 為什么即使使用相同的參數,簽名驗證也不起作用? JAVA中的簽名驗證和簽名長度 手動驗證XML簽名 iText 簽名驗證問題 XADES 簽名驗證 JWT簽名驗證 Android簽名驗證
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM