谁能告诉我为什么以下(来自https://github.com/dgrijalva/jwt-go)示例不起作用?
token, err := jwt.Parse(myToken, func(token *jwt.Token) ([]byte, error) {
return myLookupKey(token.Header["kid"])
})
if err == nil && token.Valid {
deliverGoodness("!")
} else {
deliverUtterRejection(":(")
}
我收到一条错误消息cannot use func literal (type func(*jwt.Token) ([]byte, error)) as type jwt.Keyfunc in argument to jwt.Parse
我尝试使用来自几个不同 jwt-go 示例的代码,但总是以同样的错误告终。
该函数Parse期望
type Keyfunc func(*Token) (interface{}, error)
您需要 return interface{},而不是byte[]在您的函数文字中。
(也许使用 abyte.Buffer来包装byte[], 然后您可以阅读“将任意 Golang 接口转换为字节数组”)
Gert Cuykens在第36 期的评论中指出:提交 e1571c8应该更新了示例。
像这个要点这样的其他例子也需要更新。
正如另一个答案中提到的,最新版本的 isgithub.com/dgrijalva/jwt-go是v3.2.0+incompatible。文档现在已经过时了,因为包的jwt.Keyfunc
函数现在有这个签名:
type Keyfunc func (*Token) (interface{}, error)
在解析 JWT 时,这个jwt包也会对它们进行身份验证。验证 JWT 需要两件事。
这是jwt.Keyfunc适合的地方。 的返回值interface{}是稍后类型断言到加密密钥的。对于许多用例,这将是基于 RSA 或 ECDSA 的算法。这意味着返回类型通常是*ecdsa.PublicKey
or *rsa.PublicKey。(也可以使用 HMAC 密钥,但我不会介绍该用例。)
如果您的公钥是 PEM 格式,您可能有兴趣使用jwt
包中内置的功能:ParseECPublicKeyFromPEM
和ParseRSAPublicKeyFromPEM
.
如果您的公钥是另一种格式,您可能需要通过填充其导出字段来构建*ecdsa.PublicKey
和Go 结构。*rsa.PublicKey
这是要填充的数据结构:
// PublicKey represents an ECDSA public key.
type PublicKey struct {
elliptic.Curve
X, Y *big.Int
}
嵌入elliptic.Curve是通过使用crypto/elliptic与其长度关联的函数创建的:
// Create the ECDSA public key.
publicKey = &ecdsa.PublicKey{}
// Set the curve type.
var curve elliptic.Curve
switch myCurve {
case p256:
curve = elliptic.P256()
case p384:
curve = elliptic.P384()
case p521:
curve = elliptic.P521()
}
publicKey.Curve = curve
对于X和Y,这些都是*big.Ints。如果您有这些整数的字节,请创建一个新的*big.Int并使用该SetBytes方法。
publicKey.X = big.NewInt(0).SetBytes(xCoordinate)
publicKey.Y = big.NewInt(0).SetBytes(yCoordinate)
这是要填充的数据结构:
// A PublicKey represents the public part of an RSA key.
type PublicKey struct {
N *big.Int // modulus
E int // public exponent
}
模数N是 a *big.Int。如果您有此整数的字节,请创建一个新的*big.Int并使用该
SetBytes方法。
publicKey.N = big.NewInt(0).SetBytes(modulus)
指数是一个常规整数。所以这应该是向前发展的,但是如果你有这个整数的字节,你可以创建一个像这样的整数:
publicKey.E = int(big.NewInt(0).SetBytes(exponent).Uint64())
jwt.Keyfunc现在公钥处于正确的数据结构中,是时候创建一个jwt.Keyfunc. 如前所述,此函数的输入将是 a *jwt.Token,输出将是 an*ecdsa.PublicKey或 a
*rsa.PublicKey,但类型为空接口:interface{}或 an error。
*jwt.Token包含 JWT 本身,但识别与其关联的公钥的最佳方法是kid. 这kid是 JWT 标头中包含的字符串值。阅读
kidRFC 中的参数。它可以像这样从 JWT 中读取:
// ErrKID indicates that the JWT had an invalid kid.
ErrKID := errors.New("the JWT has an invalid kid")
// Get the kid from the token header.
kidInter, ok := token.Header["kid"]
if !ok {
return nil, fmt.Errorf("%w: could not find kid in JWT header", ErrKID)
}
kid, ok := kidInter.(string)
if !ok {
return nil, fmt.Errorf("%w: could not convert kid in JWT header to string", ErrKID)
}
此时输入为a kid,输出为公钥。此时最简单的 a 实现
jwt.Keyfunc是一个从 a 读取的函数,map[string]interface{}其中键string是 a kid,值interface{}是它的公钥。
这是一个例子:
// ErrKID indicates that the JWT had an invalid kid.
ErrKID := errors.New("the JWT has an invalid kid") // TODO This should be exported in the global scope.
// Create the map of KID to public keys.
keyMap := map[string]interface{}{"zXew0UJ1h6Q4CCcd_9wxMzvcp5cEBifH0KWrCz2Kyxc": publicKey}
// Create a mutex for the map of KID to public keys.
var mux sync.Mutex
// Create the jwt.Keyfunc
var keyFunc jwt.Keyfunc = func(token *jwt.Token) (interface{}, error) {
// Get the kid from the token header.
kidInter, ok := token.Header["kid"]
if !ok {
return nil, fmt.Errorf("%w: could not find kid in JWT header", ErrKID)
}
kid, ok := kidInter.(string)
if !ok {
return nil, fmt.Errorf("%w: could not convert kid in JWT header to string", ErrKID)
}
// Get the appropriate public key from the map of KID to public keys.
mux.Lock()
publicKey, ok := keyMap[kid]
mux.Unlock()
if !ok {
return nil, fmt.Errorf("%w: could not find a matching KID in the map of keys", ErrKID)
}
return publicKey, nil
}
您现在可以keyFunc在解析 JWT 时使用创建的函数即变量。
// Parse the JWT.
token, err := jwt.Parse(myToken, keyFunc)
if err != nil {
log.Fatalf("Failed to parse JWT.\nError: %s\n", err.Error())
}
// Confirm the JWT is valid.
if !token.Valid {
log.Fatalln("JWT failed validation.")
}
// TODO Proceed with authentic JWT.
JWT 的公钥也可以由RFC 7517描述。该 RFC 描述了 JSON Web 密钥 (JWK) 和 JSON Web 密钥集 (JWK)。一些身份提供商,如Keycloak 或Amazon Cognito (AWS)通过 HTTPS 端点提供这些。
这是一个示例 JWK:
{
"keys": [
{
"kid": "zXew0UJ1h6Q4CCcd_9wxMzvcp5cEBifH0KWrCz2Kyxc",
"kty": "RSA",
"alg": "PS256",
"use": "sig",
"n": "wqS81x6fItPUdh1OWCT8p3AuLYgFlpmg61WXp6sp1pVijoyF29GOSaD9xE-vLtegX-5h0BnP7va0bwsOAPdh6SdeVslEifNGHCtID0xNFqHNWcXSt4eLfQKAPFUq0TsEO-8P1QHRq6yeG8JAFaxakkaagLFuV8Vd_21PGJFWhvJodJLhX_-Ym9L8XUpIPps_mQriMUOWDe-5DWjHnDtfV7mgaOxbBvVo3wj8V2Lmo5Li4HabT4MEzeJ6e9IdFo2kj_44Yy9osX-PMPtu8BQz_onPgf0wjrVWt349Rj6OkS8RxlNGYeuIxYZr0TOhP5F-yEPhSXDsKdVTwPf7zAAaKQ",
"e": "AQAB",
"x5c": [
"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"
],
"x5t": "IYIeevIT57t8ppUejM42Bqx6f3I",
"x5t#S256": "TuOrBy2NcTlFSWuZ8Kh8W8AjQagb4fnfP1SlKMO8-So"
}
]
}
在上面的示例中,*rsa.PublicKey可以仅从
n和eJSON 属性创建 a。它的kid属性可用于创建keyMap前面部分中描述的条目。
我之前实际上遇到过这个用例,并创建了一个 Go 包,仅用于使用 JWK 和创建
jwt.Keyfunc. 如果这适合您的用例,请在此处查看存储库:github.com/MicahParks/keyfunc.