'%3e%3cpath%20d='M9%2021H15'%20stroke='black'%20stroke-width='2'%20stroke-linecap='round'%20stroke-linejoin='round'/%3e%3cpath%20d='M5.25001%209.75C5.25001%207.95979%205.96116%206.2429%207.22703%204.97703C8.4929%203.71116%2010.2098%203%2012%203C13.7902%203%2015.5071%203.71116%2016.773%204.97703C18.0388%206.2429%2018.75%207.95979%2018.75%209.75C18.75%2013.1081%2019.5281%2015.8063%2020.1469%2016.875C20.2126%2016.9888%2020.2472%2017.1179%2020.2474%2017.2493C20.2475%2017.3808%2020.2131%2017.5099%2020.1475%2017.6239C20.082%2017.7378%2019.9877%2017.8325%2019.8741%2017.8985C19.7604%2017.9645%2019.6314%2017.9995%2019.5%2018H4.50001C4.36874%2017.9992%204.23997%2017.964%204.12659%2017.8978C4.0132%2017.8317%203.91916%2017.7369%203.85387%2017.6231C3.78858%2017.5092%203.75432%2017.3801%203.75452%2017.2489C3.75472%2017.1176%203.78937%2016.9887%203.85501%2016.875C4.47282%2015.8063%205.25001%2013.1072%205.25001%209.75Z'%20stroke='black'%20stroke-width='2'%20stroke-linecap='round'%20stroke-linejoin='round'/%3e%3c/g%3e%3cdefs%3e%3cclipPath%20id='clip0_4762_133'%3e%3crect%20width='24'%20height='24'%20fill='white'/%3e%3c/clipPath%3e%3c/defs%3e%3c/svg%3e)
'%3e%3cpath%20d='M24%200H0V24H24V0Z'%20fill='white'%20fill-opacity='0.01'/%3e%3cpath%20d='M12%2011C14.2091%2011%2016%209.20914%2016%207C16%204.79086%2014.2091%203%2012%203C9.79086%203%208%204.79086%208%207C8%209.20914%209.79086%2011%2012%2011Z'%20stroke='black'%20stroke-width='2'%20stroke-linecap='round'%20stroke-linejoin='round'/%3e%3cpath%20d='M4%2021V20.4857C4%2018.5655%204%2017.6055%204.38753%2016.872C4.72841%2016.2269%205.27235%2015.7024%205.94138%2015.3737C6.70196%2015%207.6976%2015%209.68889%2015H14.3111C16.3024%2015%2017.298%2015%2018.0586%2015.3737C18.7276%2015.7024%2019.2716%2016.2269%2019.6125%2016.872C20%2017.6055%2020%2018.5655%2020%2020.4857V21'%20stroke='black'%20stroke-width='2'%20stroke-linecap='round'%20stroke-linejoin='round'/%3e%3c/g%3e%3cdefs%3e%3cclipPath%20id='clip0_4762_139'%3e%3crect%20width='24'%20height='24'%20fill='white'/%3e%3c/clipPath%3e%3c/defs%3e%3c/svg%3e)
# 懒猫SSO第六章 WKS:`/sys/oauth/keys` 到底在干什么
忘机山人
在第五章,我们已经确认了一件事:
只要 ENV 查看器能拿到懒猫 SSO 的公钥,
并成功验证签名,
那它就可以确信:
这些声明只能来自懒猫 SSO。
但这句话里,隐藏着一个极其危险的前提:
ENV 查看器拿到的“那把公钥”,
真的是懒猫 SSO 的公钥。
如果这一点站不住脚,
前一章所有关于签名、私钥、不可伪造的结论,都会瞬间失效。
于是,一个新的问题出现了:
ENV 查看器从哪里拿到公钥?
又凭什么相信这把公钥是对的?
这正是 JWKS 存在的原因,也是懒猫 SSO 为你暴露 https://alice.heiyu.space/sys/oauth/keys 的意义。
6.1 一个天真的、但非常危险的想法
在最早期的懒猫玩法(以及很多自建 OIDC 的教程)里,你可能见过这样一种做法:
“把懒猫 SSO 的公钥下载下来,写在应用的配置文件里。”
从功能上看,这当然可行。
但从系统设计上看,这是一个不可接受的方案。
原因并不复杂。
6.2 为什么“写死公钥”在懒猫里行不通
第一:密钥一定会轮换
懒猫官方会定期做 Key Rotation:
- 懒猫 SSO 的私钥定期更换
- 新旧密钥并存一段时间
- 逐步淘汰旧密钥
如果 ENV 查看器把公钥写死:
- 每次懒猫系统更新都需要同步更新
- 一旦漏更,就会导致整个盒子的用户登录全部失败
- 用户根本不知道发生了什么,只会觉得“这 App 又坏了”
这在工程上是不可接受的。
第二:懒猫 SSO 可能同时使用多把密钥
在真实的懒猫 SSO 实现中,签名者往往会:
- 使用不同密钥签发不同 token
- 在轮换过渡期内同时接受多把 key
- 为不同算法维护不同 key(懒猫目前只有
RS256,但未来可能变)
ENV 查看器如果只“认一把”,
就会在合法场景下误判 token 为非法。
第三:公钥不是“配置”,而是“动态信任关系”
最根本的问题在于:
公钥不是一个静态参数,
而是懒猫 SSO 对外发布的一部分“信任接口”。
它应该:
- 可发现(通过 discovery)
- 可更新(懒猫升级后自动跟上)
- 可验证来源(绑定到
iss)
这三点,单靠配置文件是做不到的。
6.3 JWKS 是什么(准确但不绕)
JWKS(JSON Web Key Set)并不神秘。
它只是一个 JSON 格式的公钥集合,
通过 HTTPS 对外发布。
懒猫 SSO 的 JWKS 地址是:
https://alice.heiyu.space/sys/oauth/keys
这个地址不是猜出来的,它由 discovery 返回的 jwks_uri 字段决定:
{
"issuer": "https://alice.heiyu.space/sys/oauth",
"jwks_uri": "https://alice.heiyu.space/sys/oauth/keys",
...
}
一个典型的返回看起来像这样:
{
"keys": [
{
"kty": "RSA",
"kid": "3e7f...",
"use": "sig",
"alg": "RS256",
"n": "…",
"e": "AQAB"
}
]
}
每一项,描述的都是一把 可用于验签的公钥。
6.4 JWKS 解决的不是“有没有公钥”,而是三个更深的问题
第一:发现(Discovery)
ENV 查看器不需要提前知道公钥内容。
它只需要知道:
“去哪里拿。”
这个“哪里”,不是随意指定的 URL,
而是通过 OIDC Discovery 机制获得的:
GET https://alice.heiyu.space/sys/oauth/.well-known/openid-configuration
在这里,懒猫 SSO 明确告诉 ENV 查看器:
- 我是谁(
issuer) - 我的 token endpoint 在哪(
token_endpoint) - 我的公钥在哪(
jwks_uri)
而这个 issuer 的值,又由你容器里的 LAZYCAT_AUTH_OIDC_ISSUER_URI 环境变量决定——
懒猫注入的这个变量,就是整个信任链的起点。
第二:选择(Selection)
JWT 的 header 中,有一个非常重要的字段:
{ "alg": "RS256", "kid": "3e7f..." }
kid 的含义只有一个:
“这个 token 是用哪一把 key 签的。”
ENV 查看器在拿到的 JWKS 里:
- 查找
kid对应的 key - 用这把 key 验签
这使得:
- 多 key 并存成为可能
- key 轮换不需要盒子重启、也不需要 App 重部署
第三:更新(Rotation)
JWKS 是一个可随时间变化的集合:
- 懒猫升级引入新 key
- 旧 key 保留一段时间
- ENV 查看器通过缓存 + 刷新机制逐步更新
实现层面的建议(用主流 OIDC 库几乎都自带):
- 缓存 JWKS 几分钟到几小时
- 遇到没见过的
kid,主动刷新一次 - 刷新还找不到 → 拒绝 token,不要无限循环
这让“长期运行的信任关系”成为可能——
你的 App 写好一次,懒猫这边换多少次 key 都不用动它。
6.5 Client 是如何使用 JWKS 的(流程级)
现在我们把 JWKS 放回到实际流程中。
当 ENV 查看器拿到一个 ID Token 时,它会:
- 解析 JWT header
- 读取
alg(必须是RS256)、kid - 从缓存的 JWKS 中查找对应公钥
- 如果找不到:
- 重新拉取
https://alice.heiyu.space/sys/oauth/keys - 再次查找
- 重新拉取
- 如果仍然找不到:
- 拒绝这个 token
注意这个结论:
“找不到对应公钥”
本身就是一个拒绝信号。
如果你的 App 在这里写了 fallback(“找不到就跳过签名验证”),
那整个懒猫 SSO 的安全模型在你这里就破了。
6.6 为什么“中间人伪造 JWKS”行不通
这是一个经常被提出、也非常值得认真回答的问题:
“如果有人在家庭网络里拦截到
/sys/oauth/keys的请求,
返回一套伪造的公钥,会怎样?”
这个攻击模型并不成立,原因不在于 JWKS 本身,而在于:
JWKS 从来不是“裸奔”的。
6.6.1 HTTPS 是第一道信任根
JWKS 是通过 HTTPS 获取的,而且 heiyu.space 的证书是懒猫官方签发的可信证书。
这意味着:
- ENV 查看器会验证 TLS 证书
- 会验证域名
- 会验证证书链
要成功伪造 JWKS,中间人必须:
- 控制 DNS
- 拥有可信 CA 签发的
*.heiyu.space证书
这已经超出了懒猫 SSO 的威胁模型。
⚠️ 例外:如果你手贱在 App 里关掉了 TLS 验证(比如用自签证书做开发调试),这条就不成立了。别在生产配置里关 TLS 验证。
6.6.2 issuer 绑定是第二道闸门
ENV 查看器并不是“随便拉一个 JWKS”。
它的逻辑是:
“这个 JWKS 属于
https://alice.heiyu.space/sys/oauth这个 issuer。”
而 issuer 本身,已经在 discovery 阶段被固定(来自 LAZYCAT_AUTH_OIDC_ISSUER_URI)。
攻击者即使伪造一套 JWKS,也无法绕过:
iss校验aud校验- discovery 绑定
6.6.3 公钥可以公开,但私钥无法伪造
这是整个模型中最容易被忽略的一点:
安全性不来自“公钥保密”,
而来自“私钥不可得”。
攻击者可以:
- 复制懒猫 SSO 的公钥
- 重发它的 JWKS
- 声称“这是我的 key”
但只要他没有懒猫 SSO 的私钥:
就无法生成任何能通过验签的 token。
6.7 一个非常重要的实现原则(必须强调)
ENV 查看器在实现 JWKS 支持时,必须遵守一个原则:
永远不要从 token 本身“学会”信任来源。
具体来说:
- ❌ 不要信任 token header 里的
jku - ❌ 不要信任 token header 里的
x5u - ❌ 不要允许 token 指定“去哪拉公钥”
- ❌ 不要把
jwks_uri做成“App 用户可配置的”(这是一个经典反面教材)
JWKS 的来源,必须是:
懒猫注入的
LAZYCAT_AUTH_OIDC_ISSUER_URI→ discovery →jwks_uri
这是防止 Key Injection 的关键。
6.8 到这里,我们真正拥有了什么
在本章结束时,ENV 查看器已经具备了三项能力:
- 能验证 token 的签名
- 能确信使用的是懒猫 SSO 发布的公钥
- 能适应密钥轮换而不中断服务
这意味着:
ENV 查看器已经能确认:
“这组声明确实来自这台盒子的懒猫 SSO,且没有被篡改。”
但请注意:
我们仍然没有回答一个更关键的问题。
6.9 合法的声明,仍然可能是错误的声明
一个 token 可以:
- 签名完全正确
- 公钥完全可信
但仍然可能:
- 发给盒子上别的 App(
aud是some.other.app) - 用在错误的场景
- 来自错误的 issuer(你接入了多个 OIDC,比如 Casdoor)
- 已经过期
- 被重放
也就是说:
“来源可信”
≠
“现在就该信任并使用这些声明”。
6.10 本章结论(必须清晰)
我们可以把这一章的结论总结为:
- 懒猫 SSO 的公钥通过
https://<盒子>.heiyu.space/sys/oauth/keys发布 - JWKS 解决的是“公钥发现、选择与轮换”问题
- ENV 查看器对公钥的信任,来自 HTTPS +
LAZYCAT_AUTH_OIDC_ISSUER_URI绑定 - 公钥可以公开,懒猫 SSO 的私钥不可伪造
- 签名验证通过,只是信任链的一部分
本章小结(一句话)
JWKS 让“数学可信”变成了“懒猫 App 可用的可信”。
评论
0暂无评论