<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On 4 May 2016 at 18:37, Aikeaguinea <span dir="ltr">&lt;<a href="mailto:aikeaguinea@xsmail.com" target="_blank">aikeaguinea@xsmail.com</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Figured it out, kinda. I have to use the Realm public key, and at least<br>
in <a href="http://jwt.io" rel="noreferrer" target="_blank">jwt.io</a> it has to begin with &quot;-----BEGIN PUBLIC KEY-----&quot; and end with<br>
&quot;-----END PUBLIC KEY-----&quot; -- these can&#39;t be omitted.<br>
<br>
If I try using the Realm certificate, it won&#39;t work, however, whether or<br>
not I use &quot;-----BEGIN CERTIFICATE-----&quot;/&quot;-----END CERTIFICATE-----&quot;.<br>
<br>
If I use the validator at <a href="http://kjur.github.io/jsjws/tool_jwt.html" rel="noreferrer" target="_blank">http://kjur.github.io/jsjws/tool_jwt.html</a> and<br>
select &quot;default X509 Certificate (RSA z4) it tells me &quot;Error: malformed<br>
X.509 certificate PEM (code:003)&quot;<br>
<br>
I can use the Realm public key for validating the JWT, but shouldn&#39;t the<br>
certificate work as well?<br></blockquote><div><br></div><div>The certificate is only used by SAML, so no you can&#39;t verify the JWT with the certificate only the public key.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<span class="im HOEnZb"><br>
On Wed, May 4, 2016, at 12:00 PM, Aikeaguinea wrote:<br>
&gt; I have a client with a service account and credentials using Signed Jwt.<br>
&gt; Authentication works fine. The service uses<br>
&gt; org.keycloak.adapters.authentication.ClientCredentialsProviderUtils#setClientCredentials<br>
&gt; to create the JWT token and set the headers, and I get back a JWT<br>
&gt; containing an access token from Keycloak.<br>
&gt;<br>
&gt; However, when I use <a href="http://jwt.io" rel="noreferrer" target="_blank">jwt.io</a> to look at the access token, I can&#39;t validate<br>
&gt; the signature. This is true whether I use the client Certificate (from<br>
&gt; the client&#39;s Credentials tab), the Realm public key, or the Realm<br>
&gt; Certificate. In addition, I have generated the client&#39;s public key from<br>
&gt; the certificate using<br>
&gt;<br>
&gt; keytool -exportcert -alias x -keypass y -storepass z -rfc -keystore<br>
&gt; client-keystore.jks | openssl x509 -inform pem -pubkey<br>
&gt;<br>
&gt; on the jks file supplied when I generated the client credentials, and<br>
&gt; that doesn&#39;t work either.<br>
&gt;<br>
&gt; We&#39;ve also been having trouble validating the signature programmatically<br>
&gt; using Java.<br>
&gt;<br>
&gt; Any idea why I might be seeing this?<br>
&gt;<br>
&gt; --<br>
&gt; <a href="http://www.fastmail.com" rel="noreferrer" target="_blank">http://www.fastmail.com</a> - Or how I learned to stop worrying and<br>
&gt;                           love email again<br>
&gt;<br>
<br>
<br>
</span><span class="HOEnZb"><font color="#888888">--<br>
  Aikeaguinea<br>
  <a href="mailto:aikeaguinea@xsmail.com">aikeaguinea@xsmail.com</a><br>
<br>
--<br>
<a href="http://www.fastmail.com" rel="noreferrer" target="_blank">http://www.fastmail.com</a> - Send your email first class<br>
</font></span><div class="HOEnZb"><div class="h5"><br>
_______________________________________________<br>
keycloak-user mailing list<br>
<a href="mailto:keycloak-user@lists.jboss.org">keycloak-user@lists.jboss.org</a><br>
<a href="https://lists.jboss.org/mailman/listinfo/keycloak-user" rel="noreferrer" target="_blank">https://lists.jboss.org/mailman/listinfo/keycloak-user</a><br>
</div></div></blockquote></div><br></div></div>