Как проверить что JWT не скомпромитирован?
На вход я получаю токен с информацией о user
***
Первое что пришло на ум
String[] chunks = token.split("\\.");
Base64.Decoder decoder = Base64.getUrlDecoder();
String palyload = new String(decoder.decode(chunks[1]));
String header = new String(decoder.decode(chunks[0]));
String unsignedToken = new String(Base64.getEncoder().encode(header)) + '.' + new String(Base64.getEncoder().encode(payload));
HMAC-SHA256(unsignedToken, SECRET_KEY)
Однако
SECRET_KEY надо еще получить c
Keyckloak.
В правильном ли направлении я иду?
Если да, то никто не знает как получить этот секрет.
-------------------------------------------------------
Возможно есть другой, более правильный способ проверить токен доступа.
P.S. Можете скидывать материал или доку. Стараюсь разобраться в материале, но пока тону в нем.
Сложный
Простой
Средний
