在 GO 中验证 AWS Cognito JWT

【问题标题】:Validate AWS Cognito JWT in GO在 GO 中验证 AWS Cognito JWT
【发布时间】:2021-10-03 15:36:51
【问题描述】:

我正在尝试验证从 AWS Cognito(托管 UI)登录返回的 JWT。我注意到,一旦在 cognito 中完成登录,它就会尝试使用“id_token”和“access_token”等参数访问我的应用程序。用jwt.io检查,看起来“id_token”是jwt。

作为测试,我在 GO 中编写了一个 post 函数,期望有一个带有 jwt 令牌和访问令牌的主体(并由此 answer 实现)

func auth(w http.ResponseWriter, r *http.Request) {
    w.Header().Set("Content-Type", "application/json")

    keyset, err := jwk.Fetch(context.Background(), "https://cognito-idp.{Region}.amazonaws.com/{poolID}/.well-known/jwks.json")
    if err != nil {
        w.WriteHeader(http.StatusInternalServerError)
        json.NewEncoder(w).Encode(&model.ErrorResponse{
            Response: model.Response{
                Result: false,
            },
            StatusCd:   "500",
            StatusDesc: "Failed to fetch jwks. Authorization failed.",
            Error:      "errRes",
        })
    }
    authRequest := &model.AuthRequest{}

    json.NewDecoder(r.Body).Decode(&authRequest)

    parsedToken, err := jwt.Parse(
        []byte(authRequest.Token), //This is the JWT
        jwt.WithKeySet(keyset),
        jwt.WithValidate(true),
        jwt.WithIssuer("https://cognito-idp.{Region}.amazonaws.com/{poolID}"),
        jwt.WithAudience("{XX APP CLIENT ID XX}"),
        jwt.WithClaimValue("key", authRequest.Access), //This is the Access Token
    )
    if err != nil {
        w.WriteHeader(http.StatusInternalServerError)
        json.NewEncoder(w).Encode(&model.ErrorResponse{
            Response: model.Response{
                Result: false,
            },
            StatusCd:   "500",
            StatusDesc: "Failed token parse. Authorization failed.",
            Error:      "errRes",
        })
    }

    result := parsedToken
    json.NewEncoder(w).Encode(result)
}

我正在使用的包是

"github.com/lestrrat-go/jwx/jwk"
"github.com/lestrrat-go/jwx/jwt"

显然,它在令牌解析时失败了。我做错了什么以及我应该如何处理parsedToken

我是新手,所以我不知道这是否是正确的方法,并且真的需要一些指导。

【问题讨论】:

  • 我不明白这一行jwt.WithClaimValue("key", authRequest.Access) authRequest.Access 是否评估为“访问”?使用 jwt 作为字符串,您只需 B64 解码即可查看 声明的内容,如果不存在,那么至少在适当的地方事情会失败。你应该可以在这里解码它jwt.io 我认为 WithClaimValue 行应该是 key = "token_use" 然后 value 是 "id" 或 "access"
  • @NigelSavage 谢谢 - 我将其更改为 jwt.WithClaimValue("token_use", "access") 但仍然失败。
  • 我建议解码 jwt 令牌并查看声明

标签: go jwt


【解决方案1】:

如果您使用的是github.com/golang-jwt/jwt 包(正式名称为github.com/dgrijalva/jwt-go),那么您可能会从this example 中受益:

您可以在此处查看更多 JWK Go 示例:github.com/MicahParks/keyfunc/tree/master/examples

package main

import (
    "fmt"
    "log"
    "time"

    "github.com/golang-jwt/jwt"

    "github.com/MicahParks/keyfunc"
)

func main() {

    // Get the JWKs URL from your AWS region and userPoolId.
    //
    // See the AWS docs here:
    // https://docs.aws.amazon.com/cognito/latest/developerguide/amazon-cognito-user-pools-using-tokens-verifying-a-jwt.html
    regionID := ""   // TODO Get the region ID for your AWS Cognito instance.
    userPoolID := "" // TODO Get the user pool ID of your AWS Cognito instance.
    jwksURL := fmt.Sprintf("https://cognito-idp.%s.amazonaws.com/%s/.well-known/jwks.json", regionID, userPoolID)

    // Create the keyfunc options. Use an error handler that logs. Refresh the JWKs when a JWT signed by an unknown KID
    // is found or at the specified interval. Rate limit these refreshes. Timeout the initial JWKs refresh request after
    // 10 seconds. This timeout is also used to create the initial context.Context for keyfunc.Get.
    refreshInterval := time.Hour
    refreshRateLimit := time.Minute * 5
    refreshTimeout := time.Second * 10
    refreshUnknownKID := true
    options := keyfunc.Options{
        RefreshErrorHandler: func(err error) {
            log.Printf("There was an error with the jwt.KeyFunc\nError:%s\n", err.Error())
        },
        RefreshInterval:   &refreshInterval,
        RefreshRateLimit:  &refreshRateLimit,
        RefreshTimeout:    &refreshTimeout,
        RefreshUnknownKID: &refreshUnknownKID,
    }

    // Create the JWKs from the resource at the given URL.
    jwks, err := keyfunc.Get(jwksURL, options)
    if err != nil {
        log.Fatalf("Failed to create JWKs from resource at the given URL.\nError:%s\n", err.Error())
    }

    // Get a JWT to parse.
    jwtB64 := "eyJraWQiOiJmNTVkOWE0ZSIsInR5cCI6IkpXVCIsImFsZyI6IlJTMjU2In0.eyJzdWIiOiJLZXNoYSIsImF1ZCI6IlRhc2h1YW4iLCJpc3MiOiJqd2tzLXNlcnZpY2UuYXBwc3BvdC5jb20iLCJleHAiOjE2MTkwMjUyMTEsImlhdCI6MTYxOTAyNTE3NywianRpIjoiMWY3MTgwNzAtZTBiOC00OGNmLTlmMDItMGE1M2ZiZWNhYWQwIn0.vetsI8W0c4Z-bs2YCVcPb9HsBm1BrMhxTBSQto1koG_lV-2nHwksz8vMuk7J7Q1sMa7WUkXxgthqu9RGVgtGO2xor6Ub0WBhZfIlFeaRGd6ZZKiapb-ASNK7EyRIeX20htRf9MzFGwpWjtrS5NIGvn1a7_x9WcXU9hlnkXaAWBTUJ2H73UbjDdVtlKFZGWM5VGANY4VG7gSMaJqCIKMxRPn2jnYbvPIYz81sjjbd-sc2-ePRjso7Rk6s382YdOm-lDUDl2APE-gqkLWdOJcj68fc6EBIociradX_ADytj-JYEI6v0-zI-8jSckYIGTUF5wjamcDfF5qyKpjsmdrZJA"

    // Parse the JWT.
    token, err := jwt.Parse(jwtB64, jwks.KeyFunc)
    if err != nil {
        log.Fatalf("Failed to parse the JWT.\nError:%s\n", err.Error())
    }

    // Check if the token is valid.
    if !token.Valid {
        log.Fatalf("The token is not valid.")
    }

    log.Println("The token is valid.")
}

【讨论】:

  • 谢谢!无论如何我都在使用它:)
【解决方案2】:

我建议从做最少的检查开始——即,首先尝试只解析而不进行验证,然后逐个添加验证:

  1. jwt.Parse([]byte(token)) // 可能因为 JWS 而失败
  2. jwt.Parse([]byte(token), jwt.WithKeySet(...)) // 应该没问题吧?
  3. jwt.Parse(..., jwt.WithValidation(true), ...) // 一个一个添加条件

请注意,我不知道 id_token 中有什么,因为我从未使用过 Cognito 如果它是原始 JWT,则不需要密钥集,并且 (1) 应该可以工作。

【讨论】:

猜你喜欢
  • 2019-11-16
  • 2018-03-07
  • 2022-01-26
  • 1970-01-01
  • 2017-03-11
  • 2020-10-27
  • 2017-09-01
  • 2019-04-14
  • 2019-09-06
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode