Блог

Я пытаюсь проверить JWK, хранящиеся на сервере ресурсов. Одна из проверок, которую я реализовал, состоит в том, чтобы проверить, есть ли ребенок, которого я декодирую из JWT, и проверить его на настроенном сервере ресурсов.

Я прошел через RFC JWK для «малыша». В rfc упоминается, что kid-строка, чувствительная к регистру. Но из документа не ясно, каких ценностей может придерживаться ребенок. Допустимо ли для ребенка просто иметь все числовые символы в строке. Также назовите максимальное ограничение на количество символов в строке, которое может вместить ребенок.

Это действительно может быть просто любая строка, если она уникальна для каждого ключа в JWKS. Согласно RFC7517:

Структура значения «ребенок» не указана.

Я видел uuid, числа, метки времени и отпечатки пальцев (хэш ключа), используемые в качестве kid .

Отпечаток пальца JWK также может быть использован в качестве ключевого идентификатора, который практически гарантированно будет уникальным.
из (https://connect2id.com/products/nimbus-jose-jwt/examples/jwk-thumbprints)

Что касается длины kid , то в RFC нет ограничений, но JWK-это объект JSON, и kid обычно он также является частью заголовка JWT, который также является объектом JSON. JSON также не имеет неотъемлемого ограничения размера, но, согласно RFC7159, раздел 9:

Реализация может устанавливать ограничения на длину и символьное содержимое строк.

Таким образом, теоретически это ограничено реализацией, но практически вы не столкнетесь с какими-либо серьезными ограничениями при использовании любого разумного размера, подходящего для уникального идентификатора.