正如您已经猜到的那样,您将需要公共密钥才能验证JWT令牌。
https://docs.aws.amazon.com/cognito/latest/developerguide/amazon-cognito- user-pools-using-tokens-verifying-a-jwt.html#amazon-cognito-user-pools-using- tokens-第2步
为您的用户池下载并存储相应的公共JSON Web密钥(JWK)。它可作为JSON Web密钥集(JWKS)的一部分使用。您可以在https:// cognito-idp上找到它 。{region} .amazonaws.com / {userPoolId} /。well-kNown / jwks.json
该JSON文件结构已在网络中记录,因此您可以潜在地手动解析,生成公钥等。
但是只使用一个库可能会更容易,例如,一个库:https :@L_404_6@/lestrrat-go/jwx
然后jwt-go处理JWT部分:https :@L_404_6@/dgrijalva/jwt-go
然后,您可以:
1)使用第一个库下载并解析公共密钥JSON
keySet, err := jwk.Fetch(THE_COGNITO_URL_DESCRIBED_ABOVE)
2)使用jwt-go解析令牌时,请使用JWT标头中的“ kid”字段来找到要使用的正确密钥
token, err := jwt.Parse(tokenString, func(token *jwt.Token) (interface{}, error) {
if _, ok := token.Method.(*jwt.SigningMethodRS256); !ok {
return nil, fmt.Errorf("Unexpected signing method: %v", token.Header["alg"])
}
kid, ok := token.Header["kid"].(string)
if !ok {
return nil, errors.New("kid header not found")
}
keys := keySet.LookupKeyID(kid);
if len(keys) == 0 {
return nil, fmt.Errorf("key %v not found", kid)
}
return keys[0].Materialize()
})