为啥 JWS 签名的验证失败?

Posted

技术标签:

【中文标题】为啥 JWS 签名的验证失败?【英文标题】:Why is verification failing for a JWS signature?为什么 JWS 签名的验证失败? 【发布时间】:2021-04-06 03:38:55 【问题描述】:

我正在尝试使用 Java 中的 Nimbus JOSE JWT 库使用分离的有效负载对消息进行签名。验证在本地进行,但每当我尝试使用 Postman 将其发送到服务器时,我都会得到:"The signature header x-jws-signature was parsed and has a valid JOSE header that complies with the specification. However, the signature itself could not be verified"

 JWSSigner signer = new RSASSASigner(privateKey);

        HashMap<String, Object> criticalParameters = new HashMap<>();
        criticalParameters.put("http://openbanking.org.uk/iat", 1501497671);
        criticalParameters.put("http://openbanking.org.uk/iss", orgId);
        criticalParameters.put("http://openbanking.org.uk/tan", "openbankingtest.org.uk");

        JWSHeader header = new JWSHeader.Builder(JWSAlgorithm.PS256)
                .type(JOSEObjectType.JOSE)
                .keyID(keyID)
                .criticalParams(criticalParameters.keySet())
                .customParams(criticalParameters)
                .build();

        // With encoding the payload
        JWSObject jwsObject = new JWSObject(header, payload);
        jwsObject.sign(signer);

        String jws = jwsObject.serialize(true);


        JWSObject parsedJWSObject = JWSObject.parse(jws, payload);

        if (parsedJWSObject.verify(new RSASSAVerifier(publicKey, criticalParameters.keySet()))) 
            System.out.println(parsedJWSObject.serialize(true));
         else 
            System.out.println("Invalid");
        
        //=============================

        // Without encoding the payload
        Base64URL signature = signer.sign(header, (header.toBase64URL().toString() + "." + payload).getBytes());
        JWSVerifier verifier = new RSASSAVerifier(publicKey, criticalParameters.keySet());

        boolean isValid = verifier.verify(header, (header.toBase64URL().toString() + "." + payload).getBytes(), signature);
        System.out.println(header.toBase64URL().toString() + ".." + signature.toString());
        System.out.println(isValid);
        //=============================

这两个函数都成功地对 JWS 进行了签名和验证,但由于某种原因,它不起作用。如果有帮助,我正在尝试访问 Open Banking API。

【问题讨论】:

【参考方案1】:

最近遇到了类似的问题。我建议您检查以下内容:

请求中的负载是否完全与用于 JW 签名的负载相同(没有转义或格式化字符)? 负载中 JSON 属性的顺序是什么?您尝试与之交互的金融实体在这些 JSON 字段的顺序方面是否有特定要求?

我知道期望负载中的 json 属性按特定顺序是非常值得怀疑,但根据经验,我发现一些开放式银行实现采用特定顺序(甚至不按字母顺序) 并且当订单不是他们期望的订单时,他们将失败并出现该错误。

【讨论】:

以上是关于为啥 JWS 签名的验证失败?的主要内容,如果未能解决你的问题,请参考以下文章

使用 jose4j 验证具有分离负载的 JWS 失败

Azure AD - 为啥我无法验证 Azure AD 为我的 Web API 颁发的 JWT 令牌?收到“IDX10516:签名验证失败”错误

接微信支付提示:支付验证签名失败

签名验证失败。没有提供安全密钥来验证签名

JwtSecurityTokenHandler ValidateToken:“签名验证失败。没有提供安全密钥来验证签名”

数字签名/电子签名验证失败