如何使用 npm Jose 创建签名的 JWT,然后验证此令牌?
Posted
技术标签:
【中文标题】如何使用 npm Jose 创建签名的 JWT,然后验证此令牌?【英文标题】:How can I create a signed JWT using npm Jose and then verify this token? 【发布时间】:2021-11-06 14:15:40 【问题描述】:我很难理解如何使用 npm jose 模块 (https://www.npmjs.com/package/jose) 在我的 Node 应用程序中创建和验证签名的 JWT 令牌。我的场景是这样的:我想签署一个经过身份验证的请求以访问资源。我可以成功地为此请求授予令牌创建一个 JWT 声明,该声明尊重“its”和“aud”、“exp”等的属性,但我想对其进行签名(也就是说,使用 SignJWT 对象和“sign”方法),以便当它作为请求传回我的服务器时,我可以验证它并授予或拒绝访问。 “sign”方法似乎不喜欢我为“key”参数传递的任何东西(我没有传递任何选项——也许我应该传递,但是什么?)。 我正在尝试使用 RSA 密钥对。我想用私钥签名并用公钥验证。对于我的迫切需要,我想我可以改用对称密钥,但我正在考虑其他一些未来的场景,我需要这种经典的 PKCS 证书密钥关系。无论如何,我认为这个选择与目前阻碍我进步的障碍没有任何关系。 我首先尝试使用 jose/util/generate_key_pair 创建我的公共/私人对。但是当我去使用密钥时,错误告诉我这不受我的实现支持。所以我转而尝试在我的应用程序之外创建一个“pem”证书并应用它(作为文本),但这也失败了。 “sign”方法报告密钥必须是“KeyLike”、“CryptoKey”或“Uint8Array”类型。好吧,UInt8Array(节点缓冲区)没有足够的类型信息:它不说明缓冲区中的内容,而且“KeyLike”是一个模糊的定义,可以忽略不计。在恳求搜索引擎的神谕之后,我发现我可以使用 Node API 中的以下内容创建 CryptoKey 格式的密钥对:
crypto.webcrypto.subtle.generateKey(
name: 'RSASSA-PKCS1-v1_5',
modulusLength: 2048,
publicExponent: new Uint8Array([1, 0, 1]),
hash: "SHA-256"
,
true,
[‘sign’, ‘verify’]
).then((pair:any) =>
serverInstance.keyPair = pair
)
但是,当我进入签名部分时:
siaToken.sign(serverInstance.keyPair.privateKey).then(signature =>
我收到一个异常报告 “TypeError: CryptoKey 不支持此操作”
认为这可能与 generateKey 的“usages”参数有关,我在那里尝试了各种值,但没有成功。
所以,我很困惑。谁能告诉我如何 (a) 最好地为此目的生成一对密钥,以及 (b) 如何将这些密钥应用于 JWT 签名?
【问题讨论】:
【参考方案1】:到目前为止,生成密钥材料的最简单方法是使用generateKeyPair。该方法与运行时无关,只需要一个参数 - 您希望与目标密钥对一起使用的算法标识符。如果您携带自己的密钥,则必须注意密钥的不同 requirements 才能被算法使用。
并非每个运行时的加密功能都可以支持每种算法,每个运行时的可用算法列表是可用的here。
此外 - 导入 SPKI/PKCS8 编码的密钥材料是特定于平台的,并通过特定于平台的 API 完成。以KeyLike
结尾的方式(CryptoKey(Web)、KeyObject(节点)或 Uint8Array(对称秘密)的类型别名记录在KeyLike alias documentation
中,从每个使用它的函数文档链接。
如果您要为您的步骤提供任何实际的复制代码,我很乐意提供帮助。
“sign”方法报告密钥必须是“KeyLike”、“CryptoKey”或“Uint8Array”类型。
我很确定它在运行时显示KeyObject
,KeyLike 只是一个类型别名,涵盖适用于不同算法和运行时的所有不同类型的输入。
【讨论】:
这是正确答案。我认为密钥的导入是非对称算法最重要的特性,否则在扩展集群实例中会使用不同的密钥。【参考方案2】:我也在努力使用jose
签名和验证 JWT,但最终能够成功使用 HS256 对称密钥加密。我按照以下步骤制作了它(我使用jose-node-cjs-runtime
仅用于 Node.js 用例。随意替换为所需的包。另外请注意,我发现这些代码适用于 Node.js 版本 16.7.0, 16.9.0 所以请确保已安装其中任何一个。如果要将这些更改部署到生产环境,则还必须确保部署环境具有相同的 Node.js 版本。可以实现的一种方法是提及engines
中的 Node.js 版本,package.json
中键入):
添加必需的导入
// library for generating symmetric key for jwt
const createSecretKey = require('crypto');
// library for signing jwt
const SignJWT = require('jose-node-cjs-runtime/jwt/sign');
// library for verifying jwt
const jwtVerify = require('jose-node-cjs-runtime/jwt/verify');
创建KeyObject
类型的密钥
KeyObject
被 Node.js 推荐用于生成对称、非对称密钥时使用。使用以下代码生成 KeyObject
类型的对称密钥对象并将其存储在 secretKey
中。
const secretKey = createSecretKey(process.env.JWT_SECRET, 'utf-8');
用足够长的字符串替换process.env.JWT_SECRET
。它需要足够长(使用长度至少为 32 的字符串),否则在签署 JWT 时会抛出以下错误:HS256 要求对称密钥为 256 位或更大
签署 JWT
(async () =>
const token = await new SignJWT( id: '12345' ) // details to encode in the token
.setProtectedHeader( alg: 'HS256' ) // algorithm
.setIssuedAt()
.setIssuer(process.env.JWT_ISSUER) // issuer
.setAudience(process.env.JWT_AUDIENCE) // audience
.setExpirationTime(process.env.JWT_EXPIRATION_TIME) // token expiration time, e.g., "1 day"
.sign(secretKey); // secretKey generated from previous step
console.log(token); // log token to console
)();
验证 JWT
我们也将使用存储在secretKey
中的相同对称密钥进行验证。以下代码可用于从请求标头中提取令牌(在 Express 应用中)并验证令牌:
(async () =>
// extract token from request
const token = req.header('Authorization').replace('Bearer ', '');
try
// verify token
const payload, protectedHeader = await jwtVerify(token, secretKey,
issuer: process.env.JWT_ISSUER, // issuer
audience: process.env.JWT_AUDIENCE, // audience
);
// log values to console
console.log(payload);
console.log(protectedHeader);
catch (e)
// token verification failed
console.log("Token is invalid");
)();
【讨论】:
谢谢。这行得通。这不是我最初寻找的非对称密钥,但就像我说的那样,我现在不需要那个功能,如果我到达它,我可以尝试越过那座桥。我还没有尝试使用此签名验证令牌(在那之前我还有其他问题要处理)但我相信它可以使用这种格式,因为它已经无缝地做到了这一点。 后续:是的,验证操作也按预期工作。再次感谢。 我也添加了令牌验证步骤。感谢您指出这一点。 荣誉,节省了我很多时间和头痛,我也可以确认它工作正常。对于那些坚持使用常规 jose 的人,我建议尝试单独的节点版本。我添加了回发布者、受众和 issusedAt() 以通过顺利验证。jwtVerify
在失败时是否返回 null 或抛出异常?以上是关于如何使用 npm Jose 创建签名的 JWT,然后验证此令牌?的主要内容,如果未能解决你的问题,请参考以下文章
编码实战2022年还在用jjwt操作jwt?,推荐你使用nimbus-jose-jwt,爽到飞起~
在nodejs中验证Nimbus JOSE + JWT令牌(Java)?