科技改变生活-雨落星辰 - 所有的伟大,都源于一个勇敢的开始

    最新消息:雨落星辰是一个专注网站SEO优化、网站SEO诊断、搜索引擎研究、网络营销推广、网站策划运营及站长类的自媒体原创博客
    你的位置: 首页>运维笔记>使用Google Cloud Key Management Service签署JSON Web令牌

    使用Google Cloud Key Management Service签署JSON Web令牌

    运维笔记admin10浏览0评论

    使用Google Cloud Key Management Service签署JSON Web令牌

    使用Google Cloud Key Management Service签署JSON Web令牌

    编辑:我找到了答案。滚动到此问题的底部。

    我正在研究NodeJS认证服务器,我想使用谷歌签名签署JSON Web令牌(JWT)。

    我正在使用谷歌云密钥管理服务(KMS),我创建了一个密钥环和一个非对称签名密钥。

    这是我获取签名的代码:

    signatureObject = await client.asymmetricSign({ name, digest })

signature = signatureObject["0"].signature

    我的Google签名对象如下所示:

    我的问题:如何使用Google签名签署JWT?

    或者换句话说,如何将Google签名连接到JWT的(header.payload)?

    JWT看起来应该是这样的:

    eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ. (GoogleSignature)

    我正在使用的准则:

    签名:

    async function sign(message, name) {
  hashedMessage = crypto.createHash('sha256').update(message).digest('base64');
  digest = { 'sha256': hashedMessage }

  signatureObject = await client.asymmetricSign({ name, digest }).catch((err) => console.log(err))
  signature = signatureObject["0"].signature
  signJWT(signature)
}

    创建JWT:

    function signJWT(signature) {
  header = {
    alg: "RS256",
    typ: "JWT"
  }

  payload = {
    sub: "1234567890",
    name: "John Doe",
    iat: 1516239022
  }

  JWT = base64url(JSON.stringify(header)) + "." +
        base64url(JSON.stringify(payload)) + "." + 
        ???signature??? ; // what goes here?
}

    验证:

    async function validateSignature(message, signature) {
  // Get public key
  publicKeyObject = await client.getPublicKey({ name }).catch((err) => console.log(err))
  publicKey = publicKeyObject["0"].pem

  //Verify signature
  var verifier = crypto.createVerify('sha256');
  verifier.update(message)
  var ver = verifier.verify(publicKey, signature, 'base64')

  // Returns either true for a valid signature, or false for not valid.
  return ver
}

    答案:

    我可以像这样使用toString()方法:

    signatureString = signature.toString('base64');

    然后我可以通过使用获得原始签名八位字节流

    var buffer = Buffer.from(theString, 'base64');
    回答如下:

    您没有在您的问题中发布您的代码,因此我不知道您是如何构建JWT进行签名的。

    [编辑添加到问题后编辑的1/18/2019]

    您的代码正在向后签名。您正在创建签名并尝试将其附加到JWT标头+有效负载。您希望改为使用JWT Headers + Payload并对该数据进行签名,然后将签名附加到JWT以创建Signed-JWT。

    使用源代码的伪代码:

    body_b64 = base64url(JSON.stringify(header)) + "." + base64url(JSON.stringify(payload))

signature = sign(body_b64, name);

jwt = body_b64 + '.' + base64url(signature)

    注意:我不确定signatureObject["0"].signature返回的签名是什么数据格式。在转换为base64之前,您可能必须转换它。

    [结束编辑]

    示例数据:

    JWT标题:

    {
    alg: RS256
    kid: 0123456789abcdef62afcbbf01234567890abcdef
    typ: JWT
}

    JWT有效载荷:

    {
  "azp": "123456789012-gooddogsgotoheaven.apps.googleusercontent",
  "aud": "123456789012-gooddogsgotoheaven.apps.googleusercontent",
  "sub": "123456789012345678901",
  "scope": "https://www.googleapis/auth/cloud-platform",
  "exp": "1547806224",
  "expires_in": "3596",
  "email": "[email protected]",
  "email_verified": "true",
  "access_type": "offline"
}

    算法:

    SHA256withRSA

    要创建签名JWT(JWS):

    步骤1:使用JWT标头并转换为Base-64。我们称之为hdr_b64。

    第2步:获取JWT Payload并转换为Base-64。我们称之为payload_b64。

    步骤3:将编码的头部和有效负载与点之间的点.连接起来:hdr_b64 +'。' + payload_b64`。我们称之为body_b64。

    步骤4:通常使用私钥将JWS与SHA256withRSA签名,通常称为“RS256”:

    signature = sign(body_b64, RS256, private_key)

    现在将签名转换为Base-64。我们称之为signature_b64。

    要创建最终的JWS:

    jws = body_b64 +'。' + signature_b64。

    建议:

    您想使用KMS创建签名JWT吗?我不会推荐这个。存储在KMS中的成本访问密钥。已签名的JWT使用私钥签名并使用公钥进行验证。你打算如何发布公钥?访问私钥和公钥需要什么性能级别(您多久会签名和验证一次)?

    在Google Cloud Platform中创建服务帐户时,会为您创建密钥对。此密钥对具有在Internet上可用公钥的ID,并且私钥存在于服务帐户Json凭证文件中。我会使用服务帐户创建Signed-JWT而不是KMS中的密钥对。

    Python中用于创建和签名的示例代码:

    def create_signed_jwt(pkey, pkey_id, email, scope):
    '''
    Create a Signed JWT from a service account Json credentials file
    This Signed JWT will later be exchanged for an Access Token
   '''

    import jwt

    # Google Endpoint for creating OAuth 2.0 Access Tokens from Signed-JWT
    auth_url = "https://www.googleapis/oauth2/v4/token"

    issued = int(time.time())
    expires = issued + expires_in   # expires_in is in seconds

    # Note: this token expires and cannot be refreshed. The token must be recreated

    # JWT Headers
    headers = {
        "kid": pkey_id, # This is the service account private key ID
        "alg": "RS256",
        "typ": "JWT"    # Google uses SHA256withRSA
    }

    # JWT Payload
    payload = {
            "iss": email,           # Issuer claim
            "sub": email,           # Issuer claim
            "aud": auth_url,        # Audience claim
            "iat": issued,          # Issued At claim
            "exp": expires,         # Expire time
            "scope": scope          # Permissions
    }

    # Encode the headers and payload and sign creating a Signed JWT (JWS)
    sig = jwt.encode(payload, pkey, algorithm="RS256", headers=headers)

    return sig

    与本文相关的文章

    发布评论

    评论列表(0)

    1. 暂无评论