了解Google OAuth2的JWT令牌

ETA 2:

我能够使用公开的文档和我的SO对密码学的丰富知识，以及MSDN上一个方便的代码示例来解决所有这些问题，该示例处理了OAuth2实现的最重要部分——验证签名JWT的完整性。

我在博客上详细介绍了一个由三部分组成的系列。

关键组件是验证来自OAuth2提供商的JWT响应的完整性-许多开发人员由于对加密功能了解不足而无法正确实现这一点，这就是为什么来自各种提供商（包括谷歌）的公共文档建议使用预先存在的库来处理身份验证。

问题是DotNetOpenAuth已经有年没有更新了，我不建议使用老化的库进行身份验证，因为不知道哪些安全漏洞可能仍然没有修补。

C#中的验证组件使用RSAPKCS1SignatureDeformatter.VerifySignature，MSDN文章中关于该方法的示例代码几乎是逐字逐句的，您需要使用它来确保签名的JWT是有效的，并且没有被恶意的第三方截获。

ETA:

我之所以在Stack Overflow上发布这篇文章，是因为Google专门使用Google-outh2标签将用户引导到Stack Overlay，以获取有关Google oauth2 API的问题、帮助和支持。所有Google OAuth2支持的堆栈溢出迁移于2013年3月实现，如本公告所示：

https://groups.google.com/forum/#！论坛/oauth2开发

场景：

使用第三方用户登录的新ASP.NET C#应用程序。我首先实现了Google OAuth2，然后将转向其他服务（Facebook、通用OpenID等）。我知道C#有现有的库，但如果可能的话，我希望避免使用第三方库。

经过长时间阅读谷歌的OAuth2文档并弄清楚JWT规范，我已经走了很长一段路。然而，我正在努力确保我理解Base64编码的JWT的第三部分，一旦用户允许我的应用程序使用他们的帐户，它就会由谷歌返回。

前两段只是Base64编码的明文。有那么多；使用JavaScriptSerializer很容易解码和解析。我所关注的是第三部分，据我所知，它需要用于验证Google JWT是否有效，是否未受任何恶意代码的影响。

在进入C#为我的应用程序编写代码之前，我一直试图使用OpenSSL对二进制Base64解码段进行解码，但我无法使用谷歌的公共证书对内容进行解码或验证。

关于C#和Google身份验证，有什么像样的文档吗？我所能找到的只是使用DotNetOpenAuth或其他库的示例。