无法用.net验证JSON Web令牌-键太短
本文关键字:令牌 Web JSON net 验证 | 更新日期: 2023-09-27 18:18:28
我使用JSONWebToken npm模块生成jwt:
var jwt = require('jsonwebtoken');
var payload = {
"iss": "https://secure.example.com/",
"exp": 1410819380,
"http://example.com/orgnum": "987987987",
"http://example.com/user": "me@example.com"
};
var token = jwt.sign(payload, 'secret');
console.log(token);
输出如下:
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJodHRwczovL3NlY3VyZS5leGFtcGxlLmNvbS8iLCJleHAiOjE0MTA4MTkzODAsImh0dHA6Ly9leGFtcGxlLmNvbS9vcmdudW0iOiI5ODc5ODc5ODciLCJodHRwOi8vZXhhbXBsZS5jb20vdXNlciI6Im1lQGV4YW1wbGUuY29tIiwiaWF0IjoxNDA4Mzk0Mjk2fQ.5X5LTg4wxDF2p49xtsRcG4S9Yk4qSfW1tMEU0AquBhc
因为我没有指定我想要的算法,所以它使用SHA256。
现在,我尝试在c#中验证这一点。这可不是件容易的事……
我得到一个关于密钥大小的异常:
IDX10603: The 'System.IdentityModel.Tokens。InMemorySymmetricSecurityKey'不能少于:'128'位。Parameternavn:关键。KeySize实际尺寸为48。
如果我尝试扩展密钥,在创建对称密钥时得到一个新的错误:
Base-64字符数组或字符串的长度无效
我认为这与我告诉。net代码关于我的密钥的方式有关。由于SymmetricKeyIssuerSecurityTokenProvider构造函数参数被命名为base64Key,我试图对我的密钥进行base64url编码:
var secret = Base64UrlEncoder.Encode("secret");
TokenValidationParameters validationParameters = new TokenValidationParameters
{
ValidateIssuer = false,
ValidateAudience = false,
IssuerSigningTokens = new SymmetricKeyIssuerSecurityTokenProvider(issuer, secret).SecurityTokens
};
那么,我在这里遗漏了什么?
为什么jsonwebtoken可以生成和验证短键连接,而。net不能?
为什么。net不能接受我给它的钥匙呢?
下面是完整的。net代码,带有一个长密钥签名的注释:
var jwtToken =
"eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJodHRwczovL3NlY3VyZS5leGFtcGxlLmNvbS8iLCJleHAiOjE0MTA4MTkzODAsImh0dHA6Ly9leGFtcGxlLmNvbS9vcmdudW0iOiI5ODc5ODc5ODciLCJodHRwOi8vZXhhbXBsZS5jb20vdXNlciI6Im1lQGV4YW1wbGUuY29tIiwiaWF0IjoxNDA4Mzk1NjY4fQ.ZceiiEO_Mn5_GZp5D_r68VTT33fbocn1BTTznD6u3cs";
var secret = Base64UrlEncoder.Encode("super duper secret with some more on top");
TokenValidationParameters validationParameters = new TokenValidationParameters
{
ValidateIssuer = false,
ValidateAudience = false,
IssuerSigningTokens = new SymmetricKeyIssuerSecurityTokenProvider("issuer", secret).SecurityTokens
};
JwtSecurityTokenHandler tokenHandler = new JwtSecurityTokenHandler()
{
Configuration = new SecurityTokenHandlerConfiguration()
{
CertificateValidationMode = X509CertificateValidationMode.None
}
};
SecurityToken validatedToken;
var claimsPrincipal = tokenHandler.ValidateToken(jwtToken, validationParameters, out validatedToken);
return claimsPrincipal.Claims;
更新:
我只在这段代码中使用微软的东西。我使用Owin软件包Microsoft.Owin.Security.Jwt版本2.1.0与System.IdentityModel.Tokens.Jwt版本4.0.0-RC2。
有很多博客文章说你需要手动更新System.IdentityModel.Tokens.Jwt包
我不确定您使用的是什么API,因为Microsoft官方的API不包含您正在使用的属性。我猜你用的是过时的版本。
我从这个Nuget包中获取了API。这是代码,对我有用:
using System;
using System.Collections.Generic;
using System.IdentityModel.Selectors;
using System.IdentityModel.Tokens;
using System.Security.Claims;
using System.ServiceModel.Security.Tokens;
using System.Text;
namespace SO25372035
{
class Program
{
static void Main()
{
const string tokenString = @"eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJodHRwczovL3NlY3VyZS5leGFtcGxlLmNvbS8iLCJleHAiOjE0MTA4MTkzODAsImh0dHA6Ly9leGFtcGxlLmNvbS9vcmdudW0iOiI5ODc5ODc5ODciLCJodHRwOi8vZXhhbXBsZS5jb20vdXNlciI6Im1lQGV4YW1wbGUuY29tIiwiaWF0IjoxNDA4NDE5NTQwfQ.jW9KChUTcgXMDp5CnTiXovtQZsN4X-M-V6_4rzu8Zk8";
JwtSecurityToken tokenReceived = new JwtSecurityToken(tokenString);
byte[] keyBytes = Encoding.UTF8.GetBytes("secret");
if (keyBytes.Length < 64 && tokenReceived.SignatureAlgorithm == "HS256")
{
Array.Resize(ref keyBytes, 64);
}
TokenValidationParameters validationParameters = new TokenValidationParameters
{
ValidateIssuer = false,
AudienceUriMode = AudienceUriMode.Never,
SigningToken = new BinarySecretSecurityToken(keyBytes),
};
JwtSecurityTokenHandler tokenHandler = new JwtSecurityTokenHandler();
ClaimsPrincipal claimsPrincipal = tokenHandler.ValidateToken(tokenReceived, validationParameters);
IEnumerable<Claim> a = claimsPrincipal.Claims;
foreach (var claim in a)
{
Console.WriteLine(claim);
}
}
}
}
注意,我必须调整包含键的数组的大小,以便键长度通过验证。似乎HMAC的密钥长度总是等于块大小,而SHA256的密钥长度是512位。有MinimumSymmetricKeySizeInBits静态属性,定义SimmetricKey的最小长度,但它似乎不能设置为小于128。
尝试使用Microsoft.Owin.Security.Jwt包中的TextEncodings.Base64Url.Decode api来解码签名密钥
然后我执行以下操作来验证令牌:
var principal = new JwtSecurityTokenHandler().ValidateToken(jwtheader,
new TokenValidationParameters()
{
RequireExpirationTime = true,
ValidAudience = audience,
ValidIssuer = issuer,
IssuerSigningKey = new InMemorySymmetricSecurityKey(secret)
}, out token);
关于密钥不少于128位的正确,因为只支持最小的AES。
你可以使用你自己的SignatureProvider
我也认为你在使用旧的比特。看看最新的。http://www.nuget.org/packages/System.IdentityModel.Tokens.Jwt/
如果您有任何问题,请告诉我。