node-jose 解释/示例?

Posted

技术标签:

【中文标题】node-jose 解释/示例?【英文标题】:node-jose explanation / example? 【发布时间】:2018-06-14 19:02:43 【问题描述】:

我想通过 JWT 使用基于令牌的身份验证(如果可能,请签名和加密)。我在服务器端使用 NodeJS。

我正在尝试使用这个 node-jose 模块:https://github.com/cisco/node-jose

我不太了解生成/存储密钥和加密算法。即使文档看起来很清楚,我也不理解 keys and key stores 部分(直到签名部分): https://github.com/cisco/node-jose#keys-and-key-stores

我需要如何生成以及需要将密钥存储在我的服务器节点应用程序的什么位置,然后才能让我签署和验证我的令牌?我需要使用对称密钥或非对称公钥私钥对吗?

我想这取决于我需要什么,但由于我的加密水平,我不知道我需要什么......

然后在签名部分,当我需要使用密钥的时候,这部分我不太明白https://github.com/cisco/node-jose#keys-used-for-signing-and-verifying

我如何知道 OCT、EC、RSA 等之间使用哪一种?最后,他们在签名部分所说的输入 Buffer 是什么?

我可以对这些问题进行解释/举例吗?

提前谢谢你。

【问题讨论】:

【参考方案1】:

我在研究证明中使用了 node-jose,为了反映我的 c# 代码,我只在我的服务器上创建了用于解密和验证的签名和加密令牌(用 c# 编写)。

我需要使用对称密钥或非对称公钥私钥对 ?

我使用 RSA 密钥进行非对称签名,并使用密钥包装内容的对称加密细节。内容加密的加密算法是一种对称算法。 node-jose 包生成了对称密钥。 Key Wrap 算法加密了对称密钥。

我的 C# 代码解密并验证了令牌签名。请注意:我使用包的功能来完成所有工作。

这是我的 runkit 笔记本,用于我的工作:

用于签名 (JWS) https://runkit.com/archeon2/5bd66a8e7ee3b70012ec2e39

用于加密 (JWE) https://runkit.com/archeon2/5bd6736ff36b39001313262a

在我的决赛中,我将两者结合起来,创建了一个签名令牌,然后将输出用作加密令牌 (JWS + JWE) 的有效负载。我成功地使用 c# 服务器代码解密和验证创建的令牌。

JWS + JWE:https://runkit.com/archeon2/jws-jwe-integration

我需要如何生成以及需要在服务器中存储密钥的位置 节点应用程序然后允许我签署和验证我的令牌?

var store = jose.JWK.createKeyStore();
await store.generate("RSA",2048,alg:"RS256", key_ops:["sign", "decrypt", "unwrap"]);
lkey = (await store.get());
var key = lkey.toJSON(); //get public key to exchange
key.use = "sig";
key.key_ops=["encrypt","verify", "wrap"];

var pubKey = await jose.JWK.asKey(key);
key = null;

Keystore 可以序列化为 JSON,所以我的想法是将其存储在 Session Storage 或浏览器中的本地存储中。然后检索 JSON 表示并读入 Keystore。

var store= await jose.JWK.asKeyStore("keys":["kty":"RSA","kid":"h9VHWShTfENF6xwjF3FR_b-9k1MvBvl3gnWnthV0Slk","alg":"RS256","key_ops":["sign","decrypt","unwrap"],"e":"AQAB","n":"l61fUp2hM3QxbFKk182yI5wTtiVS-g4ZxB4SXiY70sn23TalKT_01bgFElICexBXYVBwEndp6Gq60fCbaBeqTEyRvVbIlPlelCIhtYtL32iHvkkh2cXUgrQOscLGBm-8aWVtZE3HrtO-lu23qAoV7cGDU0UkX9z2QgQVmvT0JYxFsxHEYuWBOiWSGcBCgH10GWj40QBryhCPVtkqxBE3CCi9qjMFRaDqUg6kLqY8f0jtpY9ebgYWOmc1m_ujh7K6EDdsdn3D_QHfwtXtPi0ydEWu7pj1vq5AqacOd7AQzs4sWaTmMrpD9Ux43SVHbXK0UUkN5z3hcy6utysiBjqOwQ","d":"AVCHWvfyxbdkFkRBGX225Ygcw59fMLuejYyVLCu4qQMHGLO4irr7LD8EDDyZuOdTWoyP7BkM2e7S367uKeDKoQ6o1LND2cavgykokaI7bhxB0OxhVrnYNanJ1tCRVszxHRi78fqamHFNXZGB3fr4Za8frEEVJ5-KotfWOBmXZBvnoXbYbFXsKuaGo121AUCcEzFCGwuft75kPawzNjcdKhItfFrYh45OQLIO08W0fr_ByhxzWMU7yFUCELHSX5-4GT8ssq1dtvVgY2G14PbT67aYWJ2V571aSxM8DTwHrnB9tI8btbkXWt9JyVoQq13wDdo5fVN-c_5t07HBIaPoAQ","p":"8nLGa9_bRnke1w4paNCMjpdJ--eOUpZYbqEa8jnbsiaSWFwxZiOzUakIcpJ3iO0Bl28JEcdVbo7DE7mZ4M3BkOtm577cNuuK8243L7-k1a71X_ko2mQ3yF4rG2PzWAH_5P4wca1uk0Jj3PmhbkXDI6f_btm1X7Vw_U1K6jRhNbE","q":"oCe94Bed1Wzh-xgNq0hz52Z6WLf9eQlNxLzBbYkpLc_bGj9vMeGNO10qdxhWPi8ClkW9h5gBiFEk2s6aEWYRvIoZjrMYXD7xzyTNC5zcsikjNhM3FVj-kVdqUJy25o9uqgn2IwTvQr5WSKuxz37ZSnItEqK5SEgpCpjwEju_XhE","dp":"jAe2ir-0ijOSmGtZh2xMgl7nIFNRZGnpkZwDUDwSpAabJ-W3smKUQ2n5sxLdb3xUGv7KojYbJcvW6CGeurScQ_NycA9QaXgJvSe_QBjUP4bZuiDSc7DGdzfMdfl4pzAgeEZH_KBK6UrDGvIjRumMF6AEbCXaF_lX1TU7O6IdM0E","dq":"fDU2OjS2sQ5n2IAYIc3oLf-5RVM0nwlLKhil_xiQOjppF9s4lrvx96dSxti2EjYNUJQ34JBQJ_OenJ_8tx-tA8cq-RQHAYvDp75H1AjM1NO4vjh60PCbRgdAqdJQu1FkJzXgkdpC4UWSz3txRJaBWQ5hzIEtJ1Tnl5NzJQD3crE","qi":"3EoKqhKh5mwVGldSjwUGX7xnfQIfkQ4IETsQZh9jcfOFlf9f8rT2qnJ7eeJoXWlm5jwMnsTZAMg4l3rUlbYmCdg10zGA5PDadnRoCnSgMBF87d0mVYXxM1p2C-JmLJjqKhJObr3wndhvBXUImo_jV6aHismwkUjc1gSx_b3ajyU","kty":"RSA","kid":"h9VHWShTfENF6xwjF3FR_b-9k1MvBvl3gnWnthV0Slk","use":"verify","alg":"RS256","key_ops":["encrypt","verify","wrap"],"e":"AQAB","n":"l61fUp2hM3QxbFKk182yI5wTtiVS-g4ZxB4SXiY70sn23TalKT_01bgFElICexBXYVBwEndp6Gq60fCbaBeqTEyRvVbIlPlelCIhtYtL32iHvkkh2cXUgrQOscLGBm-8aWVtZE3HrtO-lu23qAoV7cGDU0UkX9z2QgQVmvT0JYxFsxHEYuWBOiWSGcBCgH10GWj40QBryhCPVtkqxBE3CCi9qjMFRaDqUg6kLqY8f0jtpY9ebgYWOmc1m_ujh7K6EDdsdn3D_QHfwtXtPi0ydEWu7pj1vq5AqacOd7AQzs4sWaTmMrpD9Ux43SVHbXK0UUkN5z3hcy6utysiBjqOwQ","use":"sig"]);

我如何知道 OCT、EC、RSA 等之间使用哪一种?

为此,您的令牌服务的需求可能决定了这一点。我需要接收者能够看到内容,所以我选择了 RSA,用于非对称密钥。伪造有点难。

这些笔记本在某种程度上是一项正在进行的工作。请仔细阅读,因为这是我的解释以及我如何得出我需要的东西。我希望他们提供一些指导。

【讨论】:

伟大的工作约瑟夫!节点 JWE 解决方案有很多“谜团”,您的示例很有用。

以上是关于node-jose 解释/示例?的主要内容,如果未能解决你的问题,请参考以下文章

如何使用 node-jose 生成加密的 JWE

ValidateAntiForgeryToken 用途、解释和示例

抽象解释的简短实现示例

关于 LoadFunc 的示例和更多解释

keras 风格转移示例有一个无法解释的常数

AVR 示例代码解释请