如何使用 jwt.io 手动验证从自定义授权服务器获得的令牌？

Posted 2023-03-10

技术标签:

【中文标题】如何使用 jwt.io 手动验证从自定义授权服务器获得的令牌？【英文标题】：How can I manually validate token I got from my custom authorization server by using jwt.io? 【发布时间】：2019-08-13 12:17:00 【问题描述】：

我正在通过试验 ASP.NET Core 和 IdentityServer4 来了解 OAuth2 和 OpenID Connect。到目前为止，我按照某个 Udemy 课程创建了一个受保护的 API 服务器、一个授权服务器和一个客户端。事情进展顺利，客户端能够从授权服务器获取访问令牌并使用它来访问 ASP.NET Core Web API 项目中受保护的 API。

但是，我很好奇如何手动验证从授权服务器获取的 JWT。我得到的令牌是这样的：

eyJhbGciOiJSUzI1NiIsImtpZCI6IjdiMjM1NzYyMTRlOTg3ZjE3NTdjMWYxNDE1ZTg4OGEyIiwidHlwIjoiSldUIn0.eyJuYmYiOjE1NTMyNTYxNzMsImV4cCI6MTU1MzI1OTc3MywiaXNzIjoiaHR0cDovL2xvY2FsaG9zdDo1MDAwIiwiYXVkIjpbImh0dHA6Ly9sb2NhbGhvc3Q6NTAwMC9yZXNvdXJjZXMiLCJiYW5rT2ZEb3ROZXRBcGkiXSwiY2xpZW50X2lkIjoiY2xpZW50Iiwic2NvcGUiOlsiYmFua09mRG90TmV0QXBpIl19.boION1QMOxuHxgIkBT0hZchkCEzINSpIS20Az5HkkkkrbH72IHqC2u9tOQobCsPt4okSPIuKGmgsGY2oyPMNcQpZPAOivmKXknhij_lhTv7pzaSXmFFSSpih-eigk4243VkGz8fTH9vA_IHmQ59o9zv0Wva_pKBt9lBSd39BDocNblJR092VHl66gAp79iEJctDzEKBBdN_E-RCrgPPsetU_sO0wqgOuxA0wECAo_jQhPu3LkuU9sKfj2HAFGLVxwz0Is3SAg1XIXeZylivAJdXThMkVypjrFBTeehso_9g26MVY4bKCfZ5Bx75NmYUbOfpX1gLPSo0CWvTfHhwaNg P>

当我在 jwt.io 网站上对其进行解码时，我得到了 Header:


  "alg": "RS256",
  "kid": "7b23576214e987f1757c1f1415e888a2",
  "typ": "JWT"

和有效载荷：


  "nbf": 1553256173,
  "exp": 1553259773,
  "iss": "http://localhost:5000",
  "aud": [
    "http://localhost:5000/resources",
    "bankOfDotNetApi"
  ],
  "client_id": "client",
  "scope": [
    "bankOfDotNetApi"
  ]

由于我使用RS256 算法进行签名，我需要将公钥添加到 jwt.io 以验证令牌。但是我从哪里得到这个公钥？如果我去我的身份验证服务器的发现端点（例如http://localhost:5000/.well-known/openid-configuration/jwks），我会得到以下数据：


    keys: [
        
            kty: "RSA",
            use: "sig",
            kid: "7b23576214e987f1757c1f1415e888a2",
            e: "AQAB",
            n: "509tIiUvmKkjjGOwzKElduRqpRND7YO-Op-IlsAeNwTlxY9_t22XfCqmxUyNvuvmdIVYXz-utl5bee3Tjwp8e7ok-Vn2uX-nI0jBcjTIKL0arbd7Qo5XgvICU4x-UcINrHtqMnY4S_R0uMKgaJkl3105bh9svQh--65tknjiKqmefT4M5SLHStWTisy2e0YwiaqvLam-O_rtbEawMy5-4avZep33y9Wz_JlgWyQ4jKD1Kn8mNGybjRoW3FJRkqzVNUSrGzjqwdDPL1cZOzM2HnbBqwVSFNnJiRYxPxKL_N8Q4CS9e2OVRjTof_EdzTTGC5mkOPhBCjpmvYS5d0j6JQ",
            alg: "RS256"
        
    ]

但其中哪一个是公钥？我尝试将n、e 和kid 的值粘贴到“验证签名”部分的公钥文本字段下的 jwt.io 页面，但我总是收到“无效签名”错误。

那么如何从发现端点获取 RS256 令牌的公钥以及如何使用它在 jwt.io 网站中手动验证令牌？

【问题讨论】：

【参考方案1】：

将整个（第一个也是唯一的）keys 对象值放在那里，包括大括号，至少如下：

 
     "kty":"RSA",  
     "kid":"7b23576214e987f1757c1f1415e888a2", 
     "e":"AQAB", 
     "n":"509tIiUvmKkjjGOwzKElduRqpRND7YO-Op-IlsAeNwTlxY9_t22XfCqmxUyNvuvmdIVYXz-utl5bee3Tjwp8e7ok-Vn2uX-nI0jBcjTIKL0arbd7Qo5XgvICU4x-UcINrHtqMnY4S_R0uMKgaJkl3105bh9svQh--65tknjiKqmefT4M5SLHStWTisy2e0YwiaqvLam-O_rtbEawMy5-4avZep33y9Wz_JlgWyQ4jKD1Kn8mNGybjRoW3FJRkqzVNUSrGzjqwdDPL1cZOzM2HnbBqwVSFNnJiRYxPxKL_N8Q4CS9e2OVRjTof_EdzTTGC5mkOPhBCjpmvYS5d0j6JQ"

【讨论】：

以上是关于如何使用 jwt.io 手动验证从自定义授权服务器获得的令牌？的主要内容，如果未能解决你的问题，请参考以下文章

如何验证在 jwt.io 上使用 Keycloak 身份验证提供程序创建的 HS256 签名 JWT 令牌

WCF 自定义验证器：如何从自定义验证器初始化“用户”对象

从自定义授权方 Lambda 函数访问 POST 请求正文

http://jwt.io 如何检索 keycloak 签名密钥？

在 JWT.IO 中验证签名

如何从自定义身份验证提供程序类更改 Json 格式的 BadCredentialsException、UserNameNotFound 异常消息