无法使用 .NET 验证 JSON Web 令牌 - 密钥太短

Posted 2023-03-10

【中文标题】无法使用 .NET 验证 JSON Web 令牌 - 密钥太短

【英文标题】：Not able to validate JSON Web Token with .NET – key too short

【发布时间】：2014-10-11 21:09:46

【问题描述】：

我已经使用JSONWebToken npm 模块生成了一个jwt：

var jwt = require('jsonwebtoken');

var payload = 
    "iss": "https://secure.example.com/",
    "exp": 1410819380,
    "http://example.com/orgnum": "987987987",
    "http://example.com/user": "me@example.com"
;

var token = jwt.sign(payload, 'secret');

console.log(token);

这给了我以下输出：

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJodHRwczovL3NlY3VyZS5leGFtcGxlLmNvbS8iLCJleHAiOjE0MTA4MTkzODAsImh0dHA6Ly9leGFtcGxlLmNvbS9vcmdudW0iOiI5ODc5ODc5ODciLCJodHRwOi8vZXhhbXBsZS5jb20vdXNlciI6Im1lQGV4YW1wbGUuY29tIiwiaWF0IjoxNDA4Mzk0Mjk2fQ.5X5LTg4wxDF2p49xtsRcG4S9Yk4qSfW1tMEU0AquBhc P>

由于我没有指定我想要什么算法，所以它使用 SHA256。

现在，我尝试在 c# 中验证这一点。这并不容易......

我得到一个关于密钥大小的异常：

IDX10603：“System.IdentityModel.Tokens.InMemorySymmetricSecurityKey”不能少于：“128”位。 参数导航：key.KeySize 实际大小为 48。

我尝试扩展密钥，创建对称密钥时出现新错误：

Base-64 字符数组或字符串的长度无效

我认为这与我告诉 .net 代码有关我的密钥的方式有关。由于SymmetricKeyIssuerSecurityTokenProvider 构造函数参数被命名为base64Key，我尝试对我的密钥进行Base64Url 编码：

        var secret =  Base64UrlEncoder.Encode("secret");
        TokenValidationParameters validationParameters = new TokenValidationParameters
                        
            ValidateIssuer = false,
            ValidateAudience = false,
            IssuerSigningTokens = new SymmetricKeyIssuerSecurityTokenProvider(issuer, secret).SecurityTokens
        ;

那么，我在这里缺少什么？ 为什么jsonwebtoken 可以生成和验证短键而.net 不能？ 为什么 .net 不能接受我给它的密钥？

这是完整的 .net 代码，其中包含一个用长密钥签名的记事本：

        var jwtToken =
            "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJodHRwczovL3NlY3VyZS5leGFtcGxlLmNvbS8iLCJleHAiOjE0MTA4MTkzODAsImh0dHA6Ly9leGFtcGxlLmNvbS9vcmdudW0iOiI5ODc5ODc5ODciLCJodHRwOi8vZXhhbXBsZS5jb20vdXNlciI6Im1lQGV4YW1wbGUuY29tIiwiaWF0IjoxNDA4Mzk1NjY4fQ.ZceiiEO_Mn5_GZp5D_r68VTT33fbocn1BTTznD6u3cs";
        var secret = Base64UrlEncoder.Encode("super duper secret with some more on top");


        TokenValidationParameters validationParameters = new TokenValidationParameters
            
                ValidateIssuer = false,
                ValidateAudience = false,
                IssuerSigningTokens = new SymmetricKeyIssuerSecurityTokenProvider("issuer", secret).SecurityTokens
            ;


        JwtSecurityTokenHandler tokenHandler = new JwtSecurityTokenHandler()
            
                Configuration = new SecurityTokenHandlerConfiguration()
                    
                        CertificateValidationMode = X509CertificateValidationMode.None
                    
            ;

        SecurityToken validatedToken;
        var claimsPrincipal = tokenHandler.ValidateToken(jwtToken, validationParameters, out validatedToken);
        return claimsPrincipal.Claims;

更新：

我在这段代码中只使用了微软的东西。我正在使用Owin 包Microsoft.Owin.Security.Jwt 版本2.1.0 和System.IdentityModel.Tokens.Jwt 版本4.0.0-RC2。

那里有多篇博文指出您需要手动更新System.IdentityModel.Tokens.Jwt 包。

微软提供的

TokenValidationParameters Class 没有 ValidateAudience 和 IssuerSigningTokens 成员。您能否指定您尝试使用哪个库进行验证？

对不起。我只使用微软的东西。将在问题中指定。

【参考方案1】：

更正密钥不小于 128 位，因为仅支持最低限度的 AES。

您可以使用自己的 SignatureProvider。

我也认为您使用的是较旧的位。看看最新的。 http://www.nuget.org/packages/System.IdentityModel.Tokens.Jwt/

如果您有任何问题，请告诉我。

【参考方案2】：

尝试使用Microsoft.Owin.Security.Jwt包中的TextEncodings.Base64Url.Decode api来解码签名密钥

然后我执行以下操作来验证令牌：

var principal = new JwtSecurityTokenHandler().ValidateToken(jwtheader,
                        new TokenValidationParameters()
                        
                            RequireExpirationTime = true,
                            ValidAudience = audience,
                            ValidIssuer = issuer,
                            IssuerSigningKey = new InMemorySymmetricSecurityKey(secret)
                        , out token);

【参考方案3】：

我不确定您使用的是什么 API，因为 official Microsoft one 不包含您正在使用的属性。我的猜测是，您使用的是过时的版本。

我从Nuget package 获取了 API。这是对我有用的代码：

using System;
using System.Collections.Generic;
using System.IdentityModel.Selectors;
using System.IdentityModel.Tokens;
using System.Security.Claims;
using System.ServiceModel.Security.Tokens;
using System.Text;

namespace SO25372035

    class Program
    
        static void Main()
        
            const string tokenString =  @"eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJodHRwczovL3NlY3VyZS5leGFtcGxlLmNvbS8iLCJleHAiOjE0MTA4MTkzODAsImh0dHA6Ly9leGFtcGxlLmNvbS9vcmdudW0iOiI5ODc5ODc5ODciLCJodHRwOi8vZXhhbXBsZS5jb20vdXNlciI6Im1lQGV4YW1wbGUuY29tIiwiaWF0IjoxNDA4NDE5NTQwfQ.jW9KChUTcgXMDp5CnTiXovtQZsN4X-M-V6_4rzu8Zk8";
            JwtSecurityToken tokenReceived = new JwtSecurityToken(tokenString);

            byte[] keyBytes = Encoding.UTF8.GetBytes("secret");
            if (keyBytes.Length < 64 && tokenReceived.SignatureAlgorithm == "HS256")
            
                Array.Resize(ref keyBytes, 64);
            
            TokenValidationParameters validationParameters = new TokenValidationParameters
            
                ValidateIssuer = false,
                AudienceUriMode = AudienceUriMode.Never,
                SigningToken = new BinarySecretSecurityToken(keyBytes),
            ;

            JwtSecurityTokenHandler tokenHandler = new JwtSecurityTokenHandler();

            ClaimsPrincipal claimsPrincipal = tokenHandler.ValidateToken(tokenReceived, validationParameters);
            IEnumerable<Claim> a = claimsPrincipal.Claims;
            foreach (var claim in a)
            
                Console.WriteLine(claim);
            
        
    

请注意，我必须调整包含密钥的数组的大小，以便密钥长度通过验证。 It appears HMAC 的密钥长度总是等于块大小，而对于 SHA256，它是 512 bits。 MinimumSymmetricKeySizeInBits static property 定义了 SimmetricKey 的最小长度，但它似乎不能设置为小于 128。

【讨论】：

谢谢。我会调查密钥长度的事情。至于api，我想也许是你的版本过时了.. :-)

X509CertificateValidationMode 怎么样？如何用这种方法改变它？