使用 Amazon AWS Cognito `.wellknown/jwks.json` 数据无法对某些字段进行 Base64 解码

使用 Amazon AWS Cognito 时联合身份，并解析数据：
https://cognito-identity.amazonaws.com/.well-known/jwks_uri看起来像：

{"keys":[
    {"kty":"RSA",
     "alg":"RS512",
     "use":"sig",
     "kid":"ap-northeast-11",
     "n":"AI7mc1assO5n6yB4b7jPCFgVLYPSnwt4qp2BhJVAmlXRntRZ5w4910oKNZDOr4fe/BWOI2Z7upUTE/ICXdqirEkjiPbBN/duVy5YcHsQ5+GrxQ/UbytNVN/NsFhdG8W31lsE4dnrGds5cSshLaohyU/aChgaIMbmtU0NSWQ+jwrW8q1PTvnThVQbpte59a0dAwLeOCfrx6kVvs0Y7fX7NXBbFxe8yL+JR3SMJvxBFuYC+/om5EIRIlRexjWpNu7gJnaFFwbxCBNwFHahcg5gdtSkCHJy8Gj78rsgrkEbgoHk29pk8jUzo/O/GuSDGw8qXb6w0R1+UsXPYACOXM8C8+E=",
     "e":"AQAB"}, 
 ... }

这可以很好地解码n使用此代码的字段（Kotlin调用JDK 8 Base64类):

Base64.getDecoder().decode(encodedN.toByteArray())

但是当使用 Cognito 时用户池其中 URL 中的数据格式如下：
https://cognito-idp.${REGION}.amazonaws.com/${POOLID}/.well-known/jwks.json

它具有相同类型的数据，但不会解码。相反，我最终会遇到以下错误：

非法的 base64 字符 5f

因为这是一个下划线_并在Base64 网址字母表，我尝试将解码更改为：

Base64.getUrlDecoder().decode(encodedN.toByteArray())

但是第一组数据不再正确解码，因为它包含/以及其他无效字符Base64 网址编码。

有没有一种方法可以同时处理这两个问题jwks具有相同解码器的数据集？！？

Note: 这个问题是作者特意写出来并回答的（自答问题 https://blog.stackoverflow.com/2011/07/its-ok-to-ask-and-answer-your-own-questions/），以便在 SO 中共享有趣问题的解决方案。

问题在于 Amazon AWS Cognito 团队使用两种不同的 Base64 编码字母表来处理基本相同的事情。因此，您需要检测正在使用哪个。

如果编码的字符串以=或包含+ or /那么这绝对是正常的Base64.getDecoder()。如果它包含一个- or _那么它绝对是Base64.getUrlDecoder()。否则没有什么特别的，最好使用Base64.getUrlDecoder()因为你不知道长度是否需要填充。

这转化为（在 Kotlin 中，但逻辑上适用于任何语言):

fun base64SafeDecoder(encoded: String): ByteArray {
    val decoder = if (encoded.endsWith('=') || encoded.any { it == '+' || it == '/' }) {
        Base64.getDecoder()
    }
    else {
        Base64.getUrlDecoder()
    }
    return decoder.decode(encoded.toByteArray())
}

对于任何具有 Base64 解码的语言来说，这都将是一个问题，因为它们可能会宽松并忽略无效字符（有些会这样做），或者它们可能会严格并引发异常。一些 Base64 编码/解码的测试网站也表现出这两种行为，并且默默地忽略无效字符是危险的。稍后使用解码结果时会出现错误。