問題タブ [jose4j]

JOSE4J の脆弱性リストがあれば探しています。製品にライブラリを適用して Azure AD トークンを検証し、より多くの製品関連データを含むいわゆる資格トークンを生成したいと考えています。ライブラリはとても気に入っていますが、セキュリティ チームから、特定された脆弱性があるかどうかという質問がありました。 JOSE4J と、投稿されている場合はその場所、および脆弱性が発見された場合のバグ修正の伝達方法

ありがとう

1月

Jose ( https://bitbucket.org/b_c/jose4j/wiki/Home ) を使用して、署名済みの JsonWebToken を生成しようとしています。トークンの署名に使用する必要がある RsaKeyPairs の作成で問題が発生しています。

これは、公開/秘密キーを生成するために使用しているコードです。データベースに保存してから取得できるように、これを文字列に変換する必要があります。

私が遭遇している問題は、rsaJsonWebKey.toJson(OutputControlLevel.INCLUDE_PRIVATE) を実行するときです。

次のエラーが表示されます。

Jose でコードをデバッグしようとしましたが、エラーは PublicJsonWebKey クラスの次の行にあります。

rsaPrivateKey は java.security.interfaces.RSAPrivateKey ですが、getRsaPrivateKey() は org.jose4j.jwk.RsaJsonWebKey を返します。

私は何を間違っていますか？

私の要件は、KeyPairs を生成し、それらを varchar 型フィールドまたは同様のものでデータベースに保存することです。その後、必要に応じて、データベースから文字列を取得し、秘密鍵/公開鍵に変換し、それらを使用してトークンに署名できますか?

OpenID Connect エンドポイントから JWKS を取得するときに、Jose4J がリダイレクト http ステータス コード (307 など) を処理するかどうか疑問に思っていました。

私自身が取得を行い、帯域外と呼ばれる Jose4J に JWKS を渡します。ネットワークを切り替えたとき、大量の 307 が発生しました。Jose4J が 307 やその他のリダイレクト ステータスをサポートしている場合は、JWKS の取得を行うのが賢明かどうか疑問に思っています。

ありがとう！

1月

Json Web Token(JWT) の生成に jose4j バージョン 0.6.0 を使用しています。トークンの生成、トークンの検証まで、すべて問題ありません。JWT のクレーム ペイロードには、バージョン、トークン ID、発行者、権限などの要素を多数含めることができます。oneM2M リリース 2 仕様の標準オブジェクトである TokenPermissions オブジェクトを渡しています。

上記のコード スニペットは、次の JWT クレーム セットを生成しますmail@example.com, groups=[group-one, other-group, group-three], version=1.0.0, permissions=cdot.onem2m.resource.xsd.TokenPermissions@7f3b97fd}

トークン全体が署名とクレームの検証に合格しますが、タイプキャスト許可属性を TokenPermissions にしようとすると、エラーが発生します。

以下のエラーを介して: )

jose4j JWT で渡すことができるクレーム オブジェクトの種類は何ですか? クレーム セットで強制的にテキストを渡す必要がありますか? どんな助けでも大歓迎です。