如何使用 npm Jose 创建签名的 JWT,然后验证此令牌?

Posted

技术标签:

【中文标题】如何使用 npm Jose 创建签名的 JWT,然后验证此令牌?【英文标题】:How can I create a signed JWT using npm Jose and then verify this token? 【发布时间】:2021-11-06 14:15:40 【问题描述】:

我很难理解如何使用 npm jose 模块 (https://www.npmjs.com/package/jose) 在我的 Node 应用程序中创建和验证签名的 JWT 令牌。我的场景是这样的:我想签署一个经过身份验证的请求以访问资源。我可以成功地为此请求授予令牌创建一个 JWT 声明,该声明尊重“its”和“aud”、“exp”等的属性,但我想对其进行签名(也就是说,使用 SignJWT 对象和“sign”方法),以便当它作为请求传回我的服务器时,我可以验证它并授予或拒绝访问。 “sign”方法似乎不喜欢我为“key”参数传递的任何东西(我没有传递任何选项——也许我应该传递,但是什么?)。 我正在尝试使用 RSA 密钥对。我想用私钥签名并用公钥验证。对于我的迫切需要,我想我可以改用对称密钥,但我正在考虑其他一些未来的场景,我需要这种经典的 PKCS 证书密钥关系。无论如何,我认为这个选择与目前阻碍我进步的障碍没有任何关系。 我首先尝试使用 jose/util/generate_key_pair 创建我的公共/私人对。但是当我去使用密钥时,错误告诉我这不受我的实现支持。所以我转而尝试在我的应用程序之外创建一个“pem”证书并应用它(作为文本),但这也失败了。 “sign”方法报告密钥必须是“KeyLike”、“CryptoKey”或“Uint8Array”类型。好吧,UInt8Array(节点缓冲区)没有足够的类型信息:它不说明缓冲区中的内容,而且“KeyLike”是一个模糊的定义,可以忽略不计。在恳求搜索引擎的神谕之后,我发现我可以使用 Node API 中的以下内容创建 CryptoKey 格式的密钥对:

crypto.webcrypto.subtle.generateKey(
    
        name: 'RSASSA-PKCS1-v1_5',
        modulusLength: 2048,
        publicExponent: new Uint8Array([1, 0, 1]),
        hash: "SHA-256"
    ,
    true,
    [‘sign’, ‘verify’]
).then((pair:any) => 
    serverInstance.keyPair = pair
)

但是,当我进入签名部分时: siaToken.sign(serverInstance.keyPair.privateKey).then(signature =>

我收到一个异常报告 “TypeError: CryptoKey 不支持此操作”

认为这可能与 generateKey 的“usages”参数有关,我在那里尝试了各种值,但没有成功。

所以,我很困惑。谁能告诉我如何 (a) 最好地为此目的生成一对密钥,以及 (b) 如何将这些密钥应用于 JWT 签名?

【问题讨论】:

【参考方案1】:

到目前为止,生成密钥材料的最简单方法是使用generateKeyPair。该方法与运行时无关,只需要一个参数 - 您希望与目标密钥对一起使用的算法标识符。如果您携带自己的密钥,则必须注意密钥的不同 requirements 才能被算法使用。

并非每个运行时的加密功能都可以支持每种算法,每个运行时的可用算法列表是可用的here。

此外 - 导入 SPKI/PKCS8 编码的密钥材料是特定于平台的,并通过特定于平台的 API 完成。以KeyLike 结尾的方式(CryptoKey(Web)、KeyObject(节点)或 Uint8Array(对称秘密)的类型别名记录在KeyLike alias documentation 中,从每个使用它的函数文档链接。

如果您要为您的步骤提供任何实际的复制代码,我很乐意提供帮助。

“sign”方法报告密钥必须是“KeyLike”、“CryptoKey”或“Uint8Array”类型。

我很确定它在运行时显示KeyObject,KeyLike 只是一个类型别名,涵盖适用于不同算法和运行时的所有不同类型的输入。

【讨论】:

这是正确答案。我认为密钥的导入是非对称算法最重要的特性,否则在扩展集群实例中会使用不同的密钥。【参考方案2】:

我也在努力使用jose 签名和验证 JWT,但最终能够成功使用 HS256 对称密钥加密。我按照以下步骤制作了它(我使用jose-node-cjs-runtime 仅用于 Node.js 用例。随意替换为所需的包。另外请注意,我发现这些代码适用于 Node.js 版本 16.7.0, 16.9.0 所以请确保已安装其中任何一个。如果要将这些更改部署到生产环境,则还必须确保部署环境具有相同的 Node.js 版本。可以实现的一种方法是提及engines 中的 Node.js 版本,package.json 中键入):

添加必需的导入

// library for generating symmetric key for jwt
const  createSecretKey  = require('crypto');
// library for signing jwt
const  SignJWT  = require('jose-node-cjs-runtime/jwt/sign');
// library for verifying jwt
const  jwtVerify  = require('jose-node-cjs-runtime/jwt/verify');

创建KeyObject 类型的密钥

KeyObject 被 Node.js 推荐用于生成对称、非对称密钥时使用。使用以下代码生成 KeyObject 类型的对称密钥对象并将其存储在 secretKey 中。

const secretKey = createSecretKey(process.env.JWT_SECRET, 'utf-8');

用足够长的字符串替换process.env.JWT_SECRET。它需要足够长(使用长度至少为 32 的字符串),否则在签署 JWT 时会抛出以下错误:HS256 要求对称密钥为 256 位或更大

签署 JWT

(async () => 
  const token = await new SignJWT( id: '12345' ) // details to  encode in the token
      .setProtectedHeader( alg: 'HS256' ) // algorithm
      .setIssuedAt()
      .setIssuer(process.env.JWT_ISSUER) // issuer
      .setAudience(process.env.JWT_AUDIENCE) // audience
      .setExpirationTime(process.env.JWT_EXPIRATION_TIME) // token expiration time, e.g., "1 day"
      .sign(secretKey); // secretKey generated from previous step
  console.log(token); // log token to console
)();

验证 JWT

我们也将使用存储在secretKey 中的相同对称密钥进行验证。以下代码可用于从请求标头中提取令牌(在 Express 应用中)并验证令牌:

(async () => 
    // extract token from request
    const token = req.header('Authorization').replace('Bearer ', '');
    try 
      // verify token
      const  payload, protectedHeader  = await jwtVerify(token, secretKey, 
        issuer: process.env.JWT_ISSUER, // issuer
        audience: process.env.JWT_AUDIENCE, // audience
      );
      // log values to console
      console.log(payload);
      console.log(protectedHeader);
     catch (e) 
      // token verification failed
      console.log("Token is invalid");
    
)();

【讨论】:

谢谢。这行得通。这不是我最初寻找的非对称密钥,但就像我说的那样,我现在不需要那个功能,如果我到达它,我可以尝试越过那座桥。我还没有尝试使用此签名验证令牌(在那之前我还有其他问题要处理)但我相信它可以使用这种格式,因为它已经无缝地做到了这一点。 后续:是的,验证操作也按预期工作。再次感谢。 我也添加了令牌验证步骤。感谢您指出这一点。 荣誉,节省了我很多时间和头痛,我也可以确认它工作正常。对于那些坚持使用常规 jose 的人,我建议尝试单独的节点版本。我添加了回发布者、受众和 issusedAt() 以通过顺利验证。 jwtVerify 在失败时是否返回 null 或抛出异常?

以上是关于如何使用 npm Jose 创建签名的 JWT,然后验证此令牌?的主要内容,如果未能解决你的问题,请参考以下文章

编码实战2022年还在用jjwt操作jwt?,推荐你使用nimbus-jose-jwt,爽到飞起~

node-jose 解释/示例?

在nodejs中验证Nimbus JOSE + JWT令牌(Java)?

嵌套 json JWT nimbus-jose -jwt 库

springboot 集成jwt

如何为 APN 标记化(.NET、C#)编码 JWT