如何在 Java 中使用 EC 公钥和分离有效载荷验证响应签名？

java

2024-03-17 21:13:08

验证 Java 中响应签名，利用 EC 公钥和分离有效载荷

在处理数字签名时，验证签名是至关重要的安全步骤。本文将探讨如何在 Java 中使用 EC 公钥和分离有效载荷来验证响应签名。

问题：验证签名失败

如果你在尝试使用 JWSVerifier 验证响应签名时遇到问题，原因可能是多种多样的。

标头和有效载荷未进行 base64 编码： 在重建签名之前，请确保标头和有效载荷已经使用 base64 编码。
证书不包含 EC 公钥： 确认 PEM 证书是否包含 EC 公钥。
使用错误的公钥： 验证签名时，请确保使用从签名生成器获取的公钥。

解决方法

为了验证响应签名，需要采取以下步骤：

重建签名： 将标头、有效载荷和签名连接在一起。
获取 EC 公钥： 从 PEM 证书中提取 EC 公钥。
创建 JWS 验证器： 使用 EC 公钥创建 JWS 验证器。
验证签名： 使用验证器验证 JWS 对象。

Java 代码示例

import java.security.cert.CertificateFactory;
import java.security.cert.X509Certificate;
import java.security.spec.ECPublicKey;
import java.util.Base64;

import com.auth0.jwt.JWT;
import com.auth0.jwt.JWSObject;
import com.auth0.jwt.JWSVerifier;
import com.auth0.jwt.algorithms.ECDSAVerifier;

public class VerifyResponseSignatureWithECPublicKey {

    public static void main(String[] args) throws Exception {
        // 签名、有效载荷和标头
        String base64Cert = "...";  // PEM 证书的 base64 编码
        String rawPayloadString = "...";  // XML 有效载荷
        String signature = "...";  // 签名
        String header = "...";  // 标头

        // 重建签名
        String reconstructed = header + Base64.getEncoder().encodeToString(rawPayloadString.getBytes()) + signature;

        // 获取 PEM 证书中的 EC 公钥
        CertificateFactory fact = CertificateFactory.getInstance("X.509");
        X509Certificate cer = (X509Certificate) fact.generateCertificate(new ByteArrayInputStream(Base64.getDecoder().decode(base64Cert)));
        ECPublicKey publicKey = (ECPublicKey) cer.getPublicKey();

        // 创建 JWS 验证器
        JWSObject jwsObject = JWT.decode(reconstructed);
        JWSVerifier verifier = new ECDSAVerifier(publicKey);

        // 验证签名
        boolean isVerified = jwsObject.verify(verifier);

        // 输出结果
        if (isVerified) {
            System.out.println("签名有效。");
        } else {
            System.out.println("签名无效。");
        }
    }
}