JWTs或JSON Web Tokens最常用于识别经过身份验证的用户并验证API请求。在这个验证过程中，需要使用加密密钥来验证JWT的完整性，以确保它没有被篡改。用于这个过程的密钥集被称为JWKS或JSON Web Key Set。在本博文中，我们将介绍JWKS是什么以及它们的使用方式。

什么是JSON Web Keys（JWKS）？

JSON Web Keys（JWKs）是表示加密密钥的JSON数据结构。这些密钥主要用于在OAuth流程中验证JWT。JWKs旨在易于交换，使它们成为表示加密密钥的标准化和可互操作的格式。

JWKS的结构

一个示例的JWKS将具有以下布局：

{
"jwk":
  [
    {
     "alg":"RSA",
     "mod": "0vx7agoebGcQSuuPiLJXZptN9nndrQmbXEps2aiAFbWhM78LhWx 4cbbfAAtVT86zwu1RK7aPFFxuhDR1L6tSoc_BJECPebWKRXjBZCiFV4n3oknjhMs tn64tZ_2W-5JsGY4Hc5n9yBXArwl93lqt7_RN5w6Cf0h4QyQ5v-65YGjQR0_FDW2 QvzqY368QQMicAtaSqzs8KJZgnYb9c7d0zgdAZHzu6qMQvRL5hajrn1n91CbOpbI SD08qNLyrdkt-bFTWhAI4vMQFh6WeZu0fM4lFd2NcRwr3XPksINHaQ-G_xBniIqb w0Ls1jF44-csFCur-kEgU8awapJzKnqDKgw",
     "exp":"AQAB",
     "Kid":"2011-04-29"
    }
  ]
}

一个JWK由一个JWK容器对象组成，它是一个包含JWK密钥对象数组的JSON对象。JWK容器对象成员的值可以根据使用的算法而改变。上面的示例包含一个使用RSA算法的单个成员，并具有以下成员：

• alg ：此成员标识与密钥一起使用的加密算法。
• mod ：包含RSA公钥的模值。它是base64编码的。
• exp ：RSA公钥的指数值。它是base64编码的。
• kid ：密钥ID用于匹配特定密钥。在密钥轮换期间，kid用于在JWK中选择一组密钥。

JWKS如何工作？

为了确保JWT没有被篡改，我们需要通过验证签名来验证其完整性。这需要与授权服务器使用的私钥对应的公钥。通常，可以通过查询授权服务器暴露的端点来检索JWKS，这个端点被称为“JWKS端点”。

使用JWKS的好处

• 安全性 ：JWKS通过集中密钥管理实现了关注点的分离。这种分离减少了意外暴露关键密钥的风险，与硬编码密钥相比，这是一种更安全的方法。
• 可扩展性 ：随着Web应用程序的复杂性增加，以可扩展的方式管理加密密钥变得至关重要。JWKS提供了一种标准化的处理密钥的方式，简化了应用程序扩展时的密钥分发和轮换。
• 互操作性 ：JWKS旨在在不同平台和服务之间轻松交换。这种互操作性促进了认证生态系统各个组件之间的无缝集成。

JWKS实施的考虑事项

对于大多数用户来说，您将使用认证提供程序，不必处理设置您自己的授权服务器，但如果您决定自己实现流程，以下是一些确保系统安全性的关于JWKS的建议：

• 定期密钥轮换 ：频繁地轮换JWKS中表示的加密密钥，以最小化潜在密钥泄露的影响。
• 访问控制 ：限制对JWKS端点的访问，只允许授权的客户端，并实施适当的访问控制机制。
• 安全密钥存储 ：安全地存储加密密钥，采用硬件安全模块（HSM）或基于云的密钥管理服务（KMS）等行业标准做法。

结论

在身份验证方面，有许多术语和协议被提出，当您刚开始时可能会感到困惑。我们希望通过本文，您对JWKS及其与JWT的相关性以及它们的使用有了更好的理解。