【问题标题】:Not able to validate JSON Web Token with .NET – key too short无法使用 .NET 验证 JSON Web 令牌 - 密钥太短
【发布时间】:2014-10-11 21:09:46
【问题描述】:

我已经使用JSONWebToken npm 模块生成了一个jwt:

var jwt = require('jsonwebtoken');

var payload = {
    "iss": "https://secure.example.com/",
    "exp": 1410819380,
    "http://example.com/orgnum": "987987987",
    "http://example.com/user": "me@example.com"
};

var token = jwt.sign(payload, 'secret');

console.log(token);

这给了我以下输出:

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJodHRwczovL3NlY3VyZS5leGFtcGxlLmNvbS8iLCJleHAiOjE0MTA4MTkzODAsImh0dHA6Ly9leGFtcGxlLmNvbS9vcmdudW0iOiI5ODc5ODc5ODciLCJodHRwOi8vZXhhbXBsZS5jb20vdXNlciI6Im1lQGV4YW1wbGUuY29tIiwiaWF0IjoxNDA4Mzk0Mjk2fQ.5X5LTg4wxDF2p49xtsRcG4S9Yk4qSfW1tMEU0AquBhc P>

由于我没有指定我想要什么算法,所以它使用 SHA256。

现在,我尝试在 c# 中验证这一点。这并不容易......

我得到一个关于密钥大小的异常:

IDX10603:“System.IdentityModel.Tokens.InMemorySymmetricSecurityKey”不能少于:“128”位。 参数导航:key.KeySize 实际大小为 48。

我尝试扩展密钥,创建对称密钥时出现新错误:

Base-64 字符数组或字符串的长度无效

我认为这与我告诉 .net 代码有关我的密钥的方式有关。由于SymmetricKeyIssuerSecurityTokenProvider 构造函数参数被命名为base64Key,我尝试对我的密钥进行Base64Url 编码:

        var secret =  Base64UrlEncoder.Encode("secret");
        TokenValidationParameters validationParameters = new TokenValidationParameters
        {                
            ValidateIssuer = false,
            ValidateAudience = false,
            IssuerSigningTokens = new SymmetricKeyIssuerSecurityTokenProvider(issuer, secret).SecurityTokens
        };

那么,我在这里缺少什么?
为什么jsonwebtoken 可以生成和验证短键而.net 不能?
为什么 .net 不能接受我给它的密钥?

这是完整的 .net 代码,其中包含一个用长密钥签名的记事本:

        var jwtToken =
            "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJodHRwczovL3NlY3VyZS5leGFtcGxlLmNvbS8iLCJleHAiOjE0MTA4MTkzODAsImh0dHA6Ly9leGFtcGxlLmNvbS9vcmdudW0iOiI5ODc5ODc5ODciLCJodHRwOi8vZXhhbXBsZS5jb20vdXNlciI6Im1lQGV4YW1wbGUuY29tIiwiaWF0IjoxNDA4Mzk1NjY4fQ.ZceiiEO_Mn5_GZp5D_r68VTT33fbocn1BTTznD6u3cs";
        var secret = Base64UrlEncoder.Encode("super duper secret with some more on top");


        TokenValidationParameters validationParameters = new TokenValidationParameters
            {
                ValidateIssuer = false,
                ValidateAudience = false,
                IssuerSigningTokens = new SymmetricKeyIssuerSecurityTokenProvider("issuer", secret).SecurityTokens
            };


        JwtSecurityTokenHandler tokenHandler = new JwtSecurityTokenHandler()
            {
                Configuration = new SecurityTokenHandlerConfiguration()
                    {
                        CertificateValidationMode = X509CertificateValidationMode.None
                    }
            };

        SecurityToken validatedToken;
        var claimsPrincipal = tokenHandler.ValidateToken(jwtToken, validationParameters, out validatedToken);
        return claimsPrincipal.Claims;

更新:

我在这段代码中只使用了微软的东西。我正在使用OwinMicrosoft.Owin.Security.Jwt 版本2.1.0System.IdentityModel.Tokens.Jwt 版本4.0.0-RC2

那里有多篇博文指出您需要手动更新System.IdentityModel.Tokens.Jwt 包。

【问题讨论】:

  • 微软提供的 TokenValidationParameters Class 没有 ValidateAudienceIssuerSigningTokens 成员。您能否指定您尝试使用哪个库进行验证?
  • 对不起。我只使用微软的东西。将在问题中指定。

标签: c# .net owin sha256 jwt


【解决方案1】:

更正密钥不小于 128 位,因为仅支持最低限度的 AES。

您可以使用自己的 SignatureProvider。

我也认为您使用的是较旧的位。看看最新的。 http://www.nuget.org/packages/System.IdentityModel.Tokens.Jwt/

如果您有任何问题,请告诉我。

【讨论】:

    【解决方案2】:

    尝试使用Microsoft.Owin.Security.Jwt包中的TextEncodings.Base64Url.Decode api来解码签名密钥

    然后我执行以下操作来验证令牌:

    var principal = new JwtSecurityTokenHandler().ValidateToken(jwtheader,
                            new TokenValidationParameters()
                            {
                                RequireExpirationTime = true,
                                ValidAudience = audience,
                                ValidIssuer = issuer,
                                IssuerSigningKey = new InMemorySymmetricSecurityKey(secret)
                            }, out token);
    

    【讨论】:

      【解决方案3】:

      我不确定您使用的是什么 API,因为 official Microsoft one 不包含您正在使用的属性。我的猜测是,您使用的是过时的版本。

      我从Nuget package 获取了 API。这是对我有用的代码:

      using System;
      using System.Collections.Generic;
      using System.IdentityModel.Selectors;
      using System.IdentityModel.Tokens;
      using System.Security.Claims;
      using System.ServiceModel.Security.Tokens;
      using System.Text;
      
      namespace SO25372035
      {
          class Program
          {
              static void Main()
              {
                  const string tokenString =  @"eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJodHRwczovL3NlY3VyZS5leGFtcGxlLmNvbS8iLCJleHAiOjE0MTA4MTkzODAsImh0dHA6Ly9leGFtcGxlLmNvbS9vcmdudW0iOiI5ODc5ODc5ODciLCJodHRwOi8vZXhhbXBsZS5jb20vdXNlciI6Im1lQGV4YW1wbGUuY29tIiwiaWF0IjoxNDA4NDE5NTQwfQ.jW9KChUTcgXMDp5CnTiXovtQZsN4X-M-V6_4rzu8Zk8";
                  JwtSecurityToken tokenReceived = new JwtSecurityToken(tokenString);
      
                  byte[] keyBytes = Encoding.UTF8.GetBytes("secret");
                  if (keyBytes.Length < 64 && tokenReceived.SignatureAlgorithm == "HS256")
                  {
                      Array.Resize(ref keyBytes, 64);
                  }
                  TokenValidationParameters validationParameters = new TokenValidationParameters
                  {
                      ValidateIssuer = false,
                      AudienceUriMode = AudienceUriMode.Never,
                      SigningToken = new BinarySecretSecurityToken(keyBytes),
                  };
      
                  JwtSecurityTokenHandler tokenHandler = new JwtSecurityTokenHandler();
      
                  ClaimsPrincipal claimsPrincipal = tokenHandler.ValidateToken(tokenReceived, validationParameters);
                  IEnumerable<Claim> a = claimsPrincipal.Claims;
                  foreach (var claim in a)
                  {
                      Console.WriteLine(claim);
                  }
              }
          }
      }
      

      请注意,我必须调整包含密钥的数组的大小,以便密钥长度通过验证。 It appears HMAC 的密钥长度总是等于块大小,而对于 SHA256,它是 512 bitsMinimumSymmetricKeySizeInBits static property 定义了 SimmetricKey 的最小长度,但它似乎不能设置为小于 128。

      【讨论】:

      • 谢谢。我会调查密钥长度的事情。至于api,我想也许是你的版本过时了.. :-)
      • X509CertificateValidationMode 怎么样?如何用这种方法改变它?
      猜你喜欢
      • 2015-11-18
      • 2023-01-22
      • 2021-12-12
      • 2019-11-14
      • 2013-03-08
      • 2018-09-15
      • 2018-07-30
      • 2017-04-28
      • 1970-01-01
      相关资源
      最近更新 更多