0

我们有 ASP.NET WEB API 服务器框为经过身份验证的用户生成 JWT 令牌。服务器正在使用一个秘密:SECRET。这些令牌被发送回我们的 UI,所有的 API 调用都带有这个令牌。

最近我们开始在nestjs 中编写我们的新服务,并使用@nestjs/passport、passport-jwt 库进行授权。我们的 UI 将开始使用这些新的 API,因此我们希望通过我们的 ASP.NET WEB API 服务器生成的相同令牌来授权我们的用户。我认为这将是直截了当的,因为我只需要使用相同的秘密解码令牌:秘密。但是在设置 jwt 策略后,我不断从 nestjs 获得 401。

尝试使用相同的 SECRET 从 nestjs 创建一个令牌并使用它,并且成功了。但是 ASP.NET 服务器生成的令牌不起作用。

来自 ASP.NET WEB API 的创建令牌的方法:(注意:key = SECRET)

public string CreateToken(string payload) {                       
    var encoding = new System.Text.ASCIIEncoding();

    string unsignedToken =_header + tokenSeperater + payload;
    string signature;

    using (var hmacsha256 = new HMACSHA256(encoding.GetBytes(key))) {
        byte[] hashmessage = hmacsha256.ComputeHash(encoding.GetBytes(unsignedToken));
        signature=Convert.ToBase64String(hashmessage);
     }
     string payloadEncoded = UTF8Bas64Encode(payload);
     string token = "Bearer " + _headerEncode + tokenSeperater  + payloadEncoded + tokenSeperater  + signature;

     return token;
}

NestJS Passport 设置:(注:jwtConfig.secret = SECRET)

@Module({
  imports: [
    PassportModule.register({ defaultStrategy: 'jwt' }),
    JwtModule.register({
      publicKey: jwtConfig.secret,
      signOptions: {
        expiresIn: jwtConfig.expiresIn,
      },
    })
  ],
})
export class AuthModule {}

战略:

export class JwtStrategy extends PassportStrategy(Strategy) {

  constructor(
  ) {
    super({
      jwtFromRequest: ExtractJwt.fromAuthHeaderAsBearerToken(),
      secretOrKey: config.get('jwt.secret')
    });
  }

  async validate(payload: JwtPayload) {

    const user = <find user>;
    if (!user) {
      throw new UnauthorizedException();
    }
    return user;
  }
}

这是来自我们的身份验证服务器的令牌:

Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJVc2VySWQiOiAiNDE3MSIsIlNlc3Npb25JZCI6ICI2Yjg2M2I2NS02YTM1LTQ1NDQtOTllNy0yMmJjMzEzY2M1YTMifQ==.bu+GZ+tq+Wc1Srvp/0u7jMvqBnDJqd2N5xWx2dItxlA=

预计会解密令牌,但会在调用生命周期的早期收到 401。

4

2 回答 2

1

这是对的。我设法使用jwsNestJS 内部使用的模块调试令牌,并发现jws库中的以下行失败:

var JWS_REGEX = /^[a-zA-Z0-9\-_]+?\.[a-zA-Z0-9\-_]+?\.([a-zA-Z0-9\-_]+)?$/;

function isValidJws(string) {
  return JWS_REGEX.test(string) && !!headerFromJWS(string);
}

此外,当我查看令牌时,我发现不在 Base64 列表中的字符 ( https://en.wikipedia.org/wiki/Base64 )。

对于 C#,我切换到System.IdentityModel.Tokens.Jwt课堂并且它起作用了。这个类根据规范对字符进行编码和必要的替换,所以我建议其他人使用它。直到现在,我们的 JWT 令牌还没有用于我们系统之外的声明,因此这个问题没有被注意到。

于 2019-07-28T16:51:31.980 回答
0

您在 ASP.NET 中创建令牌的代码是错误的,因为您只使用base64 encoding. 结果是一个包含保留字符 ( + / =)的标记

JWT 使用base64Url encoding(参见https://www.rfc-editor.org/rfc/rfc7519#section-3),它避免了这些字符。这些是 URI 的保留字符(请参阅https://www.ietf.org/rfc/rfc2396.txt中的第 2.2 节),并且不允许在 JWT 中使用,因为有时令牌会作为 url 中的参数传输。

推荐的解决方案是使用其中一个 JWT 库。在您的代码中,您正在手动执行操作(这有利于学习),因此要继续这种方式,您需要将base64编码结果转换为base64url编码。

这可以通过以下方式完成string.Replace

string payloadEncoded = UTF8Bas64Encode(payload).TrimEnd('=').Replace('+', '-').Replace('/', '_');

标题和签名当然也一样!

于 2019-07-28T10:03:20.183 回答