使用 System.IdentityModel.Tokens.Jwt 使用 RS512 验证 JWT 签名

Posted

技术标签:

【中文标题】使用 System.IdentityModel.Tokens.Jwt 使用 RS512 验证 JWT 签名【英文标题】:Validate JWT signature with RS512 using System.IdentityModel.Tokens.Jwt 【发布时间】:2017-02-17 09:57:57 【问题描述】:

我想使用公钥使用 RS512 算法验证 JWT 签名。我喜欢下面链接中给出的确切解决方案,它运行良好。

Verifying JWT signed with the RS256 algorithm using public key in C#

但我想在我的应用程序中使用 System.IdentityModel.Tokens.Jwt。任何人都可以通过实施 System.IdentityModel.Tokens.Jwt 来改变下面的工作示例吗?

 static void Main(string[] args)
        

            var token = "eyJhbGciOiJSUzUxMiIsImtpZCI6ImsxMDY5NDgxOTAifQ.eyJleHAiOjE0NzMzNDcxODUsInN1YiI6ImZmZmZmZmZmNTcxZGJkNjBlNGIwMWYyNzk4ZGI5N2Y4Iiwic2Vzc2lkIjoiNzZlNTg4ZDIzZmM3NDBiMGFkNzIxMDk2MGYwOWFhY2IiLCJ0eXBlIjoiYXQiLCJpYXQiOjE0NzMzMzYzODV9.WA-5NFaDx38dDEbZTH_hEYpbhuC3yTA9RHCmyF3Z8L1eYmZ8w4RFv5PrjWN-HprkMP7WzVfwKeSCqU4O1_FGbl88arCgZb_Ui7VUxwftRDMErib8XFu4hGfRKrdZOOHxBY_EGLINLobYG-n0akRTycIjmH0sgroQ_3Na7sxCJSM";
            var secretKey = "j6Dtct-hCbacNoaTWVskOLh7Fcj4snuQ2kY3ZIpOZfJP-fsBgj6dxUFiqZSKjHikk73xiVLAb6w2SqQ8Z2Ez5hpGmG0U3eZzWkm8gwrpN-DN3eSBjBzyE5UUSTxmfMXGIBZtlwGEmmameycvX8nCJLuF83nK7Q5OQd7MIWUw-_8";
            bool isValied = false;

            string[] tokenParts = token.Split('.');

            RSACryptoServiceProvider rsa = new RSACryptoServiceProvider();
            rsa.ImportParameters(
              new RSAParameters()
              
                  Modulus = FromBase64Url(secretKey),
                  Exponent = FromBase64Url("AQAB")
              );

            HashAlgorithm H = SHA512.Create();
            byte[] hash = H.ComputeHash(Encoding.UTF8.GetBytes(tokenParts[0] + '.' + tokenParts[1]));

            RSAPKCS1SignatureDeformatter rsaDeformatter = new RSAPKCS1SignatureDeformatter(rsa);
            rsaDeformatter.SetHashAlgorithm(H.GetType().ToString());
            if (rsaDeformatter.VerifySignature(hash, FromBase64Url(tokenParts[2])))
                isValied = true;




        

        static byte[] FromBase64Url(string base64Url)
        
            string padded = base64Url.Length % 4 == 0
                ? base64Url : base64Url + "====".Substring(base64Url.Length % 4);
            string base64 = padded.Replace("_", "/")
                                  .Replace("-", "+");
            return Convert.FromBase64String(base64);
        

【问题讨论】:

【参考方案1】:

使用最新版本的System.IdentityModel.Tokens.Jwt (5.0.0) 并假设您需要验证以下 JWT 令牌:

eyJhbGciOiJSUzUxMiIsImtpZCI6IjhDOURCQzA1OEIzN0Y5NzM2QzdCMzVGMDVFMDcxOENDMDUzOUU4RDciLCJ0eXAiOiJKV1QifQ.eyJuYmYiOjE0NzYxNzg2NzMsImV4cCI6MTQ3NjE4MjI3MywiaWF0IjoxNDc2MTc4NjczLCJpc3MiOiJNRSIsImF1ZCI6IllPVSJ9.Lh0iXDREkrgfuPBAJxOlNcoctRQkAV-VuhvH4oqavSV8M5ZYKhkSJ_11FyRN24yRTZfdScbOGZwO_-7Z8qSAbeLOc5HNa52LN09si-gruQFoB2Fikvd5FhwC5tqpqZeNw6usFR05Z9hl0SV05-joDv3OVfpnl31figrNiXcgqo2bB9kEPo6XeOw_JVTOrta6bHI-q6uulc4ZrLF4UWosb5R5ALLN5hwsY2lX9LrSCLfhuMlEDyjBbvrhC5fr29Ci9NYmk4U75qhhf13nS69vX8RJ5xRW8Nw6MP3Om0WaW-yX0RhtdrGZ8GuqdOxWU25i3j_qj5-ovO3OAhh0qsdMBA

使用RS512(通过在jwt.io 中在线解码来查看完整的令牌内容)您可以执行以下操作:

string thumbprint = "8C9DBC058B37F9736C7B35F05E0718CC0539E8D7"; // Change to your certificate

X509Certificate2 certificate = GetSigningCertificate(thumbprint);

var handler = new JwtSecurityTokenHandler();

string jwt = "[TOKEN_TO_BE_VALIDATED]";

SecurityToken token;
ClaimsPrincipal principal = handler.ValidateToken(jwt, new TokenValidationParameters

    ValidIssuer = "ME",
    ValidAudience = "YOU",
    IssuerSigningKey = new X509SecurityKey(certificate),
, out token);

【讨论】:

谢谢。我想在 JWK 中使用 Modulus 和 Exponent 进行验证。我没有指纹。并且这里也没有实现 GetSigningCertificate 方法。 您应该在问题中说明您的确切要求,我建议您更新它,说明您到底在寻找什么。 GetSigningCertificate 只是获取X509Certificate2 的辅助方法,.NET 支持多种获取证书的方法,任何一种都足够了。 谢谢。我用我的工作代码更新了这个问题。您能否使用 System.IdentityModel.Tokens.Jwt 做同样的事情。请不要使用我的示例中未给出的输入。 @Niroshana 如何实现 getSigningCert 方法。您是否找到了解决方案。我也面临同样的问题

以上是关于使用 System.IdentityModel.Tokens.Jwt 使用 RS512 验证 JWT 签名的主要内容,如果未能解决你的问题,请参考以下文章

在使用加载数据流步骤的猪中,使用(使用 PigStorage)和不使用它有啥区别?

今目标使用教程 今目标任务使用篇

Qt静态编译时使用OpenSSL有三种方式(不使用,动态使用,静态使用,默认是动态使用)

MySQL db 在按日期排序时使用“使用位置;使用临时;使用文件排序”

使用“使用严格”作为“使用强”的备份

Kettle java脚本组件的使用说明(简单使用升级使用)