Actualmente estoy explotando la vulnerabilidad discutida aquí
Donde el tipo de algoritmo en JWT puede cambiarse de RSA a HMAC y firmar el token con una clave pública determinada.
Sin embargo, escribí el siguiente código de Python:
import jwt
import base64
# consider 'publickey' as the servers public key
code =
jwt.encode({'login':'test'},'publickey',algorithm='HS256')
Esto produce un error:
InvalidKeyError: The specified key is an asymmetric key or x509 certificate and should not be used as an HMAC secret.
Estoy buscando una alternativa donde pueda firmarlo con éxito usando la clave asimétrica.
Gracias