我已经使用 AzureAD 设置了授权服务器。为了测试它,我目前正在应用一个隐式流并获取一个令牌和 id_token 我使用https://oidcdebugger.com/。
现在我想弄清楚如何正确验证资源服务器端的令牌。我总是得到一个jose.exceptions.JWTError: Signature verification failed. 你能帮我找出我做错了什么吗?我对 JWT 验证真的很陌生,可能在某个地方存在一些明显的错误。
正如 OIDC 元数据端点所定义的,
https://login.microsoftonline.com/{tenant_id}/v2.0/.well-known/openid-configuration用于签名验证的密钥可以在
https://login.microsoftonline.com/{tenant_id}/discovery/v2.0/keys. 该端点上的密钥 ID 与kid我的令牌标头中的值匹配。所以,我很肯定这些是我的钥匙。它们看起来像这样:
{
"kty": "RSA",
"use": "sig",
"kid": "<the-key-id>",
"x5t": "<the-key-id>",
"n": "<a-long-hash>",
"e": "AQAB",
"x5c": ["<a-long-hash-I-guess-thats-the-public-key"],
"issuer": "https://login.microsoftonline.com/<my-tenant-id>/v2.0"
}
在这篇文章的答案中,密钥是使用手工构建的cryptography.x509。我尝试了同样的方法,但我必须更改一些细节才能使其运行。我正在.encode输入字符串,我必须将一个可迭代对象传递给decode函数。
import requests
from jose import jwt
from cryptography.x509 import load_pem_x509_certificate
from cryptography.hazmat.backends import default_backend
AZURE_TENANT_ID = '<my-tenant-id>'
AZURE_KEYS = requests.get(url='<my-jwks_url>').json()['keys']
PEMSTART = "-----BEGIN CERTIFICATE-----\n"
PEMEND = "\n-----END CERTIFICATE-----\n"
def decode(token: str, keys: list):
token_header = jwt.get_unverified_header(token=token)
x5t = token_header['x5t']
key = [d for d in keys if d['x5t'] == x5t][0]
mspubkey = key['x5c'][0]
cert_str = PEMSTART + mspubkey + PEMEND
cert_obj = load_pem_x509_certificate(cert_str.encode(), default_backend())
public_key = cert_obj.public_key()
return jwt.decode(
token=token,
subject='<my-subject>',
audience='<my-audience>',
issuer=f'https://sts.windows.net/{AZURE_TENANT_ID}/',
algorithms=['RS256'],
key=[public_key])