2

我正在尝试使用 golang 中的 jwt-go 包生成带有 rsa 密钥的令牌。

这里有一个博客解释了如何做到这一点,但该代码将始终验证所有令牌,因为使用存储在服务器中的公钥而不是从令牌中获取它。您如何将完整的公钥放入令牌中?我正在尝试这个:

var secretKey, _ = rsa.GenerateKey(rand.Reader, 1024)
token := jwt.New(jwt.SigningMethodRS256)
token.Claims["username"] = "victorsamuelmd"
token.Claims["N"] = secretKey.PublicKey.N
token.Claims["E"] = secretKey.PublicKey.E

tokenString, err := token.SignedString(secretKey)

nt, err := jwt.Parse(tokenString, func(t *jwt.Token) (interface{}, error) {
    // here I need to recover the public key from the token
    // but N is a big.Int and the token stores N as int64
})

对不起我的英语。谢谢。

4

1 回答 1

3

我认为将公钥存储在声明中并不是一个好主意,因为我们可以在技术上使用该密钥验证 JWT,但这意味着它不再是签名的 JWT。如果任何人都可以使用自己的私钥生成 JWT 并将公钥存储在 JWT 中,我们无法确定谁是签名者。

无论如何,您可以将公钥转换为只是一个字符串的 PEM 格式,并将其存储在声明中。在客户端,您也可以简单地将其再次解析为公钥格式。示例代码如下:

privateKey, _ := rsa.GenerateKey(rand.Reader, 1024)
bytes, _ := x509.MarshalPKIXPublicKey(&privateKey.PublicKey)
pem := pem.EncodeToMemory(&pem.Block{
    Type:  "RSA PUBLIC KEY",
    Bytes: bytes,
})
claim["publickey"] = string(pem)


pem := []byte(claims["publickey"].(string))
return jwt.ParseRSAPublicKeyFromPEM(pem)

jwtdgrijalva 的 jwt-go

于 2017-07-27T14:59:17.070 回答