我已经使用 JSONWebToken
npm 模块生成了一个 jwt:
var jwt = require('jsonwebtoken');
var payload = {
"iss": "https://secure.example.com/",
"exp": 1410819380,
"http://example.com/orgnum": "987987987",
"http://example.com/user": "me@example.com"
};
var token = jwt.sign(payload, 'secret');
console.log(token);
这给了我以下输出:
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJodHRwczovL3NlY3VyZS5leGFtcGxlLmNvbS8iLCJleHAiOjE0MTA4MTkzODAsImh0dHA6Ly9leGFtcGxlLmNvbS9vcmdudW0iOiI5ODc5ODc5ODciLCJodHRwOi8vZXhhbXBsZS5jb20vdXNlciI6Im1lQGV4YW1wbGUuY29tIiwiaWF0IjoxNDA4Mzk0Mjk2fQ.5X5LTg4wxDF2p49xtsRcG4S9Yk4qSfW1tMEU0AquBhc
因为我没有指定我想要的算法,所以它使用 SHA256。
现在,我尝试在 C# 中验证这一点。结果并不容易...
我得到一个关于 key 大小的异常:
IDX10603: The 'System.IdentityModel.Tokens.InMemorySymmetricSecurityKey' cannot have less than: '128' bits. Parameternavn: key.KeySize The actual size was 48.
我尝试扩展 key ,但在创建对称 key 时出现新错误:
Invalid length for a Base-64 char array or string
我认为这与我告诉 .net 代码有关我的 key 的方式有关。由于 SymmetricKeyIssuerSecurityTokenProvider
构造函数参数被命名为 base64Key
,我尝试对我的 key 进行 Base64Url 编码:
var secret = Base64UrlEncoder.Encode("secret");
TokenValidationParameters validationParameters = new TokenValidationParameters
{
ValidateIssuer = false,
ValidateAudience = false,
IssuerSigningTokens = new SymmetricKeyIssuerSecurityTokenProvider(issuer, secret).SecurityTokens
};
那么,我在这里缺少什么?
为什么jsonwebtoken
可以用短键生成和验证jots,而.net不能?
为什么 .net 不能接受我给它的 key ?
这是完整的 .net 代码,带有一个用长 key 签名的笔迹:
var jwtToken =
"eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJodHRwczovL3NlY3VyZS5leGFtcGxlLmNvbS8iLCJleHAiOjE0MTA4MTkzODAsImh0dHA6Ly9leGFtcGxlLmNvbS9vcmdudW0iOiI5ODc5ODc5ODciLCJodHRwOi8vZXhhbXBsZS5jb20vdXNlciI6Im1lQGV4YW1wbGUuY29tIiwiaWF0IjoxNDA4Mzk1NjY4fQ.ZceiiEO_Mn5_GZp5D_r68VTT33fbocn1BTTznD6u3cs";
var secret = Base64UrlEncoder.Encode("super duper secret with some more on top");
TokenValidationParameters validationParameters = new TokenValidationParameters
{
ValidateIssuer = false,
ValidateAudience = false,
IssuerSigningTokens = new SymmetricKeyIssuerSecurityTokenProvider("issuer", secret).SecurityTokens
};
JwtSecurityTokenHandler tokenHandler = new JwtSecurityTokenHandler()
{
Configuration = new SecurityTokenHandlerConfiguration()
{
CertificateValidationMode = X509CertificateValidationMode.None
}
};
SecurityToken validatedToken;
var claimsPrincipal = tokenHandler.ValidateToken(jwtToken, validationParameters, out validatedToken);
return claimsPrincipal.Claims;
更新:
我在此代码中只使用了 Microsoft 的东西。我正在使用 Owin
包 Microsoft.Owin.Security.Jwt
版本 2.1.0
和 System.IdentityModel.Tokens.Jwt
版本 4.0.0-RC2
。
有多篇博文指出您需要手动更新 System.IdentityModel.Tokens.Jwt
包。
最佳答案
我不确定您使用的是什么 API,因为 official Microsoft one不包含您正在使用的属性。我的猜测是,您使用的是过时的版本。
我从这个 Nuget package 中获取了 API .这是对我有用的代码:
using System;
using System.Collections.Generic;
using System.IdentityModel.Selectors;
using System.IdentityModel.Tokens;
using System.Security.Claims;
using System.ServiceModel.Security.Tokens;
using System.Text;
namespace SO25372035
{
class Program
{
static void Main()
{
const string tokenString = @"eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJodHRwczovL3NlY3VyZS5leGFtcGxlLmNvbS8iLCJleHAiOjE0MTA4MTkzODAsImh0dHA6Ly9leGFtcGxlLmNvbS9vcmdudW0iOiI5ODc5ODc5ODciLCJodHRwOi8vZXhhbXBsZS5jb20vdXNlciI6Im1lQGV4YW1wbGUuY29tIiwiaWF0IjoxNDA4NDE5NTQwfQ.jW9KChUTcgXMDp5CnTiXovtQZsN4X-M-V6_4rzu8Zk8";
JwtSecurityToken tokenReceived = new JwtSecurityToken(tokenString);
byte[] keyBytes = Encoding.UTF8.GetBytes("secret");
if (keyBytes.Length < 64 && tokenReceived.SignatureAlgorithm == "HS256")
{
Array.Resize(ref keyBytes, 64);
}
TokenValidationParameters validationParameters = new TokenValidationParameters
{
ValidateIssuer = false,
AudienceUriMode = AudienceUriMode.Never,
SigningToken = new BinarySecretSecurityToken(keyBytes),
};
JwtSecurityTokenHandler tokenHandler = new JwtSecurityTokenHandler();
ClaimsPrincipal claimsPrincipal = tokenHandler.ValidateToken(tokenReceived, validationParameters);
IEnumerable<Claim> a = claimsPrincipal.Claims;
foreach (var claim in a)
{
Console.WriteLine(claim);
}
}
}
}
请注意,我必须调整包含 key 的数组的大小,以便 key 长度通过验证。 It appears HMAC 的 key 长度始终等于 block 大小,而 SHA256 的 key 长度为 512 bits .有 MinimumSymmetricKeySizeInBits static property定义了 SimmetricKey 的最小长度,但它似乎不能设置为小于 128。
关于c# - 无法使用 .NET 验证 JSON Web token - key 太短,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/25372035/