在哪里可以从认知中找到JWT的秘密密钥

Question

我正在尝试用于我的Web App的Cognito用户池的登录功能。我能够获得令牌，但我不知道在哪里找到解密它的秘密。我在其中一篇文章中读到，该秘密是用户池中应用程序的秘密标识。但是，对于Javascript SDK，秘密标识是空白的。这是否意味着我的秘密也应该是空白的？我试过这个，但我收到一条消息，说“错误：PEM_read_bio_PUBKEY失败”。

Answer 1

AWS使用RS256算法不需要保密，但公共密钥进行解码。

在这里，你会发现你的游泳池JWKS：https://cognito-idp.{region}.amazonaws.com/{userPoolId}/.well-known/jwks.json（见http://docs.aws.amazon.com/cognito/latest/developerguide/amazon-cognito-user-pools-using-tokens-with-identity-providers.html#amazon-cognito-identity-user-pools-using-id-and-access-tokens-in-web-api）

这里描述转化JWK公钥的过程：https://mobile.awsblog.com/post/Tx3JK25U7Z9EUIU/Integrating-Amazon-Cognito-User-Pools-with-API-Gateway（第“了解代码”）。

Answer 2

要纠正对方的回答：RS256是一种非对称加密算法，需要公共和私有密钥。另见RS256 vs HS256: What's the difference?和https://en.wikipedia.org/wiki/RSA_(cryptosystem)。

正确的是，对于验证JWT，您不需要用于对其进行签名的私钥，而只需要AWS根据https://cognito-idp.{region}.amazonaws.com/{userPoolId}/.well-known/jwks.json提供的公钥。

Answer 3

我试图通过所有这种类型的东西的工作为好。

为此我把同来的如何做到这一点的东西，对工作的例子我

1）Verifying a JWT token with a 'secret' - aka Issuers RSA public key

2）Using an Issuers public SSL certificate to verify JWT tokens and other signatures