1

我正在 Go Web 服务中试用 JWT(JSON Web 令牌)。这是我到目前为止所做的:

package jwt

import(
    "fmt"
    "net/http"
    "github.com/gorilla/mux"
    "github.com/dgrijalva/jwt-go"
    "io/ioutil"
)

var privateKey []byte
var publicKey []byte 

func JSONWebTokensHandler(w http.ResponseWriter, r * http.Request){

    // Create the token
    encodeToken := jwt.New(jwt.SigningMethodHS256)
    // Set some claims
    encodeToken.Claims["Latitude"] = "25.000"
    encodeToken.Claims["Longitude"] = "27.000"
    // Sign and get the complete encoded token as a string
    tokenString, err := encodeToken.SignedString(privateKey)

    decodeToken, err := jwt.Parse(tokenString, func(token *jwt.Token) (interface{}, error) {

        if _, ok := token.Method.(*jwt.SigningMethodHMAC); !ok {
            return nil, fmt.Errorf("Unexpected signing method: %v", token.Header["alg"])
        }

        return publicKey,nil
    })

    if decodeToken.Valid {

        fmt.Fprintf(w,"Lat:  %s, Lng: %s",decodeToken.Claims["Latitude"],decodeToken.Claims["Longitude"])

    }  else {

        fmt.Fprintf(w,"Couldn't handle this token: %s", err)

    }

}

func init(){

    privateKey,_ = ioutil.ReadFile("demo.rsa")
    publicKey,_ = ioutil.ReadFile("demo.rsa.pub")

    r := mux.NewRouter()
    r.HandleFunc("/jwt",JSONWebTokensHandler).Methods("GET")
    http.Handle("/", r)

}

现在,如果我的理解是正确的,可以使用公钥解码使用私钥编码的令牌。这就是我在上面的代码中所假设的,但是当我运行代码时,我得到了错误:

无法处理此令牌:签名无效

如果我使用相同的密钥进行编码和解码,那么代码就可以工作。

我想知道的是,我的理解或代码有问题吗?

4

3 回答 3

3

JWT 未使用 RSA 等非对称密码进行签名。它使用HMAC,它使用单个密钥。实际上,这里的重点不是向其他人证明您签署了令牌。这是为了向自己证明您已签署它,从而禁止任何没有您的密钥的人修改令牌。

于 2015-06-20T09:41:23.107 回答
3

您正在使用jwt.SigningMethodHMAC.因此,您正在使用 HMAC 进行签名,签名是由对称密钥(秘密)加密的令牌。

您应使用:jwt.New(jwt.SigningMethodRS256)使用非对称密钥对进行签名。

于 2015-09-26T18:16:07.227 回答
0

非常有趣,因为我有类似的问题,当我有微服务和客户端应用程序需要验证来自另一个内部服务器的令牌时,所以如果你建议使用 HMAC 而不是 RSA 它们意味着我需要将私有微服务和客户端应用程序的关键?那不会是一个严重的安全漏洞吗?

于 2018-02-06T14:35:34.033 回答