c# - 无法使用 .NET 验证 JSON Web token - key 太短

标签 c# .net owin sha256 jwt

我已经使用 JSONWebToken npm 模块生成了一个 jwt:

var jwt = require('jsonwebtoken');

var payload = {
    "iss": "https://secure.example.com/",
    "exp": 1410819380,
    "http://example.com/orgnum": "987987987",
    "http://example.com/user": "me@example.com"
};

var token = jwt.sign(payload, 'secret');

console.log(token);

这给了我以下输出:

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJodHRwczovL3NlY3VyZS5leGFtcGxlLmNvbS8iLCJleHAiOjE0MTA4MTkzODAsImh0dHA6Ly9leGFtcGxlLmNvbS9vcmdudW0iOiI5ODc5ODc5ODciLCJodHRwOi8vZXhhbXBsZS5jb20vdXNlciI6Im1lQGV4YW1wbGUuY29tIiwiaWF0IjoxNDA4Mzk0Mjk2fQ.5X5LTg4wxDF2p49xtsRcG4S9Yk4qSfW1tMEU0AquBhc

因为我没有指定我想要的算法,所以它使用 SHA256。

现在,我尝试在 C# 中验证这一点。结果并不容易...

我得到一个关于 key 大小的异常:

IDX10603: The 'System.IdentityModel.Tokens.InMemorySymmetricSecurityKey' cannot have less than: '128' bits. Parameternavn: key.KeySize The actual size was 48.

我尝试扩展 key ,但在创建对称 key 时出现新错误:

Invalid length for a Base-64 char array or string

我认为这与我告诉 .net 代码有关我的 key 的方式有关。由于 SymmetricKeyIssuerSecurityTokenProvider 构造函数参数被命名为 base64Key,我尝试对我的 key 进行 Base64Url 编码:

        var secret =  Base64UrlEncoder.Encode("secret");
        TokenValidationParameters validationParameters = new TokenValidationParameters
        {                
            ValidateIssuer = false,
            ValidateAudience = false,
            IssuerSigningTokens = new SymmetricKeyIssuerSecurityTokenProvider(issuer, secret).SecurityTokens
        };

那么,我在这里缺少什么?
为什么jsonwebtoken可以用短键生成和验证jots,而.net不能?
为什么 .net 不能接受我给它的 key ?

这是完整的 .net 代码,带有一个用长 key 签名的笔迹:

        var jwtToken =
            "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJodHRwczovL3NlY3VyZS5leGFtcGxlLmNvbS8iLCJleHAiOjE0MTA4MTkzODAsImh0dHA6Ly9leGFtcGxlLmNvbS9vcmdudW0iOiI5ODc5ODc5ODciLCJodHRwOi8vZXhhbXBsZS5jb20vdXNlciI6Im1lQGV4YW1wbGUuY29tIiwiaWF0IjoxNDA4Mzk1NjY4fQ.ZceiiEO_Mn5_GZp5D_r68VTT33fbocn1BTTznD6u3cs";
        var secret = Base64UrlEncoder.Encode("super duper secret with some more on top");


        TokenValidationParameters validationParameters = new TokenValidationParameters
            {
                ValidateIssuer = false,
                ValidateAudience = false,
                IssuerSigningTokens = new SymmetricKeyIssuerSecurityTokenProvider("issuer", secret).SecurityTokens
            };


        JwtSecurityTokenHandler tokenHandler = new JwtSecurityTokenHandler()
            {
                Configuration = new SecurityTokenHandlerConfiguration()
                    {
                        CertificateValidationMode = X509CertificateValidationMode.None
                    }
            };

        SecurityToken validatedToken;
        var claimsPrincipal = tokenHandler.ValidateToken(jwtToken, validationParameters, out validatedToken);
        return claimsPrincipal.Claims;

更新:

我在此代码中只使用了 Microsoft 的东西。我正在使用 OwinMicrosoft.Owin.Security.Jwt 版本 2.1.0System.IdentityModel.Tokens.Jwt 版本 4.0.0-RC2

有多篇博文指出您需要手动更新 System.IdentityModel.Tokens.Jwt 包。

最佳答案

我不确定您使用的是什么 API,因为 official Microsoft one不包含您正在使用的属性。我的猜测是,您使用的是过时的版本。

我从这个 Nuget package 中获取了 API .这是对我有用的代码:

using System;
using System.Collections.Generic;
using System.IdentityModel.Selectors;
using System.IdentityModel.Tokens;
using System.Security.Claims;
using System.ServiceModel.Security.Tokens;
using System.Text;

namespace SO25372035
{
    class Program
    {
        static void Main()
        {
            const string tokenString =  @"eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJodHRwczovL3NlY3VyZS5leGFtcGxlLmNvbS8iLCJleHAiOjE0MTA4MTkzODAsImh0dHA6Ly9leGFtcGxlLmNvbS9vcmdudW0iOiI5ODc5ODc5ODciLCJodHRwOi8vZXhhbXBsZS5jb20vdXNlciI6Im1lQGV4YW1wbGUuY29tIiwiaWF0IjoxNDA4NDE5NTQwfQ.jW9KChUTcgXMDp5CnTiXovtQZsN4X-M-V6_4rzu8Zk8";
            JwtSecurityToken tokenReceived = new JwtSecurityToken(tokenString);

            byte[] keyBytes = Encoding.UTF8.GetBytes("secret");
            if (keyBytes.Length < 64 && tokenReceived.SignatureAlgorithm == "HS256")
            {
                Array.Resize(ref keyBytes, 64);
            }
            TokenValidationParameters validationParameters = new TokenValidationParameters
            {
                ValidateIssuer = false,
                AudienceUriMode = AudienceUriMode.Never,
                SigningToken = new BinarySecretSecurityToken(keyBytes),
            };

            JwtSecurityTokenHandler tokenHandler = new JwtSecurityTokenHandler();

            ClaimsPrincipal claimsPrincipal = tokenHandler.ValidateToken(tokenReceived, validationParameters);
            IEnumerable<Claim> a = claimsPrincipal.Claims;
            foreach (var claim in a)
            {
                Console.WriteLine(claim);
            }
        }
    }
}

请注意,我必须调整包含 key 的数组的大小,以便 key 长度通过验证。 It appears HMAC 的 key 长度始终等于 block 大小,而 SHA256 的 key 长度为 512 bits .有 MinimumSymmetricKeySizeInBits static property定义了 SimmetricKey 的最小长度,但它似乎不能设置为小于 128。

关于c# - 无法使用 .NET 验证 JSON Web token - key 太短,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/25372035/

上一篇:c# - 如何让随机数/字母生成器生成 3 个字母然后生成 6 个数字?在 WPF 中

下一篇:c# - 将模型与 View 模型分开有什么意义? (MVVM)

相关文章:

c# - WebApi.Owin 中的 SuppressDefaultHostAuthentication 也抑制 webapi 外部的身份验证

c# - 重新激活时Windows Phone中的界面刷新

c# - 如何从给定的 XSLT 文件获取版本号。

asp.net-mvc - 如何在owin启动类中注入(inject)依赖

asp.net-mvc - 使用 Autofac 解析 MVC5 应用程序中的 IOwinContext

c# - 使用 MemoryMappedFile 共享变量会出错

c# - 创建一个进程并重定向其输入/输出并且不继承套接字句柄

c# - WebConfigurationManager 和 ConfigurationManager 有什么区别?

c# - 如何在 C# 中读取 Http 响应流两次?

C# .Net Dll 引用依赖

©2024 IT工具网  联系我们