JWKS-Validator

Nach RFC 7517 + 7518 + 8037

Prüft ein JSON Web Key Set: Pflichtfelder pro kty, Schlüssel­stärke, alg/use-Konsistenz, kid-Eindeutigkeit, versehentliche Private-Key-Veröffentlichung.

Was ist das, und wann brauche ich es?

Was ist das?

Ein JSON Web Key Set (JWKS, RFC 7517 § 5) ist die Liste öffentlicher Schlüssel, die ein OAuth2/OIDC-Issuer unter jwks_uri veröffentlicht, damit Verifier JWTs prüfen können. Dieses Werkzeug geht jeden Schlüssel gegen RFC 7517 (kty, kid, use), RFC 7518 (RSA-/EC-Parameter, Algorithmus-Konsistenz) und RFC 8037 (OKP, Ed25519, X25519) durch. Es meldet schwache RSA-Schlüssel (< 2048 bit), versehentliche Private-Key-Veröffentlichung (d, p, q in einem öffentlichen JWKS), symmetrische oct-Keys in einem öffentlichen JWKS, kollidierende kid-Werte und inkonsistente alg/kty-Paare, die zu Verifikations-Fehlschlägen führen.

Wann brauche ich das?

Bevor Sie einen JWT-Verifier gegen einen neuen Issuer richten; nach einer Key-Rotation; beim Debuggen von „kid not found" oder „invalid signature" gegen die IDP eines Partners. Auch sinnvoll als jährlicher Sanity-Check der vom eigenen Issuer ausgelieferten JWKS.

Hinweis: Im URL-Modus läuft die JWKS-Abfrage über unseren Server (Browser können den jwks_uri einer fremden Domain wegen CORS meist nicht selbst holen). Wir speichern weder die abgefragte URL noch das Ergebnis. Pro IP gelten 12 Anfragen pro Minute.

Volle https-URL des JWKS-Endpoints (z. B. <code>https://accounts.google.com/.well-known/jwks</code> oder das jwks_uri aus dem OIDC-Discovery-Dokument).