使用证书颁发机构的公钥进行JWT签名验证

Question

我正在尝试这样做：

在客户端: 1.使用标题有效负载生成JSON令牌(JWT)。2.使用我的私钥在这个JWT上签名。我还有一个由根CA签名的证书。3.将JWT发送到服务器。

在服务器端: 1.验证接收到的JWT。2.我只能访问已签署我的证书的根CA的公钥/证书。

可以使用根CA的公钥或证书验证JWT的签名。请注意，我不想使用我的公钥来验证JWT，因为有很多客户端都有它们的私有公钥对，而且服务器不可能从客户端获取所有的公钥。我的目标是使服务器端验证使用根CA的公钥/证书来验证JWT。

这个是可能的吗？

Answer 1

不，以您所描述的方式是不可能的:您需要实际的证书才能：

1. 使用其中的公钥验证JWT上的签名
2. 验证证书是否由根CA签名。

但是，同样地，由于2，您不需要在带外交换证书，但是发送方可以将证书与JWT一起发送。因此，您可以满足您的目标，因为您不需要从客户端分别获得所有的公钥。