Was ist das?
Ein JSON Web Key Set (JWKS, RFC 7517 § 5) ist die Liste öffentlicher Schlüssel, die ein
OAuth2/OIDC-Issuer unter jwks_uri veröffentlicht, damit Verifier JWTs prüfen
können. Dieses Werkzeug geht jeden Schlüssel gegen RFC 7517 (kty, kid, use), RFC 7518
(RSA-/EC-Parameter, Algorithmus-Konsistenz) und RFC 8037 (OKP, Ed25519, X25519) durch. Es
meldet schwache RSA-Schlüssel (< 2048 bit), versehentliche Private-Key-Veröffentlichung (d, p, q in einem öffentlichen JWKS), symmetrische oct-Keys in
einem öffentlichen JWKS, kollidierende kid-Werte und inkonsistente
alg/kty-Paare, die zu Verifikations-Fehlschlägen führen.
Wann brauche ich das?
Bevor Sie einen JWT-Verifier gegen einen neuen Issuer richten; nach einer Key-Rotation; beim Debuggen von „kid not found" oder „invalid signature" gegen die IDP eines Partners. Auch sinnvoll als jährlicher Sanity-Check der vom eigenen Issuer ausgelieferten JWKS.