【发布时间】:2014-10-11 21:09:46
【问题描述】:
我已经使用JSONWebToken npm 模块生成了一个jwt:
var jwt = require('jsonwebtoken');
var payload = {
"iss": "https://secure.example.com/",
"exp": 1410819380,
"http://example.com/orgnum": "987987987",
"http://example.com/user": "me@example.com"
};
var token = jwt.sign(payload, 'secret');
console.log(token);
这给了我以下输出:
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJodHRwczovL3NlY3VyZS5leGFtcGxlLmNvbS8iLCJleHAiOjE0MTA4MTkzODAsImh0dHA6Ly9leGFtcGxlLmNvbS9vcmdudW0iOiI5ODc5ODc5ODciLCJodHRwOi8vZXhhbXBsZS5jb20vdXNlciI6Im1lQGV4YW1wbGUuY29tIiwiaWF0IjoxNDA4Mzk0Mjk2fQ.5X5LTg4wxDF2p49xtsRcG4S9Yk4qSfW1tMEU0AquBhc P>
由于我没有指定我想要什么算法,所以它使用 SHA256。
现在,我尝试在 c# 中验证这一点。这并不容易......
我得到一个关于密钥大小的异常:
IDX10603:“System.IdentityModel.Tokens.InMemorySymmetricSecurityKey”不能少于:“128”位。 参数导航:key.KeySize 实际大小为 48。
我尝试扩展密钥,创建对称密钥时出现新错误:
Base-64 字符数组或字符串的长度无效
我认为这与我告诉 .net 代码有关我的密钥的方式有关。由于SymmetricKeyIssuerSecurityTokenProvider 构造函数参数被命名为base64Key,我尝试对我的密钥进行Base64Url 编码:
var secret = Base64UrlEncoder.Encode("secret");
TokenValidationParameters validationParameters = new TokenValidationParameters
{
ValidateIssuer = false,
ValidateAudience = false,
IssuerSigningTokens = new SymmetricKeyIssuerSecurityTokenProvider(issuer, secret).SecurityTokens
};
那么,我在这里缺少什么?
为什么jsonwebtoken 可以生成和验证短键而.net 不能?
为什么 .net 不能接受我给它的密钥?
这是完整的 .net 代码,其中包含一个用长密钥签名的记事本:
var jwtToken =
"eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJodHRwczovL3NlY3VyZS5leGFtcGxlLmNvbS8iLCJleHAiOjE0MTA4MTkzODAsImh0dHA6Ly9leGFtcGxlLmNvbS9vcmdudW0iOiI5ODc5ODc5ODciLCJodHRwOi8vZXhhbXBsZS5jb20vdXNlciI6Im1lQGV4YW1wbGUuY29tIiwiaWF0IjoxNDA4Mzk1NjY4fQ.ZceiiEO_Mn5_GZp5D_r68VTT33fbocn1BTTznD6u3cs";
var secret = Base64UrlEncoder.Encode("super duper secret with some more on top");
TokenValidationParameters validationParameters = new TokenValidationParameters
{
ValidateIssuer = false,
ValidateAudience = false,
IssuerSigningTokens = new SymmetricKeyIssuerSecurityTokenProvider("issuer", secret).SecurityTokens
};
JwtSecurityTokenHandler tokenHandler = new JwtSecurityTokenHandler()
{
Configuration = new SecurityTokenHandlerConfiguration()
{
CertificateValidationMode = X509CertificateValidationMode.None
}
};
SecurityToken validatedToken;
var claimsPrincipal = tokenHandler.ValidateToken(jwtToken, validationParameters, out validatedToken);
return claimsPrincipal.Claims;
更新:
我在这段代码中只使用了微软的东西。我正在使用Owin 包Microsoft.Owin.Security.Jwt 版本2.1.0 和System.IdentityModel.Tokens.Jwt 版本4.0.0-RC2。
那里有多篇博文指出您需要手动更新System.IdentityModel.Tokens.Jwt 包。
【问题讨论】:
-
微软提供的 TokenValidationParameters Class 没有
ValidateAudience和IssuerSigningTokens成员。您能否指定您尝试使用哪个库进行验证? -
对不起。我只使用微软的东西。将在问题中指定。