4

我很难理解如何使用 npm jose 模块(https://www.npmjs.com/package/jose) 在我的 Node 应用程序中创建和验证签名的 JWT 令牌。我的场景是这样的:我想签署一个经过身份验证的请求以访问资源。我可以成功地为此请求授予令牌创建一个 JWT 声明,该声明尊重“its”和“aud”、“exp”等的属性,但我想对其进行签名(也就是说,使用 SignJWT 对象和“sign”方法),以便当它作为请求传回我的服务器时,我可以验证它并授予或拒绝访问。“sign”方法似乎不喜欢我为“key”参数传递的任何东西(我没有传递任何选项——也许我应该传递,但是什么?)。我正在尝试使用 RSA 密钥对。我想用私钥签名并用公钥验证。为了我的迫切需要,我想我可以改用对称密钥,但我正在考虑其他一些未来场景,我需要这种经典的 PKCS 证书密钥关系。无论如何,我认为这个选择与当前阻碍我进步的障碍没有任何关系。我首先尝试使用 jose/util/generate_key_pair 创建我的公共/私人对。但是当我去使用密钥时,错误告诉我这不受我的实现支持。所以我转而尝试在我的应用程序之外创建一个“pem”证书并应用它(作为文本),但这也失败了。“sign”方法报告密钥必须是“KeyLike”、“CryptoKey”或“Uint8Array”类型。好吧,UInt8Array(节点缓冲区)没有足够的类型信息:它不说明缓冲区中的内容,而且“KeyLike”是一个模糊的定义,可以忽略不计。在恳求搜索引擎的神谕之后,

crypto.webcrypto.subtle.generateKey(
    {
        name: 'RSASSA-PKCS1-v1_5',
        modulusLength: 2048,
        publicExponent: new Uint8Array([1, 0, 1]),
        hash: "SHA-256"
    },
    true,
    [‘sign’, ‘verify’]
).then((pair:any) => {
    serverInstance.keyPair = pair
})

但是,当我到达签名部分时: siaToken.sign(serverInstance.keyPair.privateKey).then(signature => {

我收到一个异常报告“TypeError:CryptoKey 不支持此操作”</p>

认为这可能与 generateKey 的 'usages' 参数有关,我在那里尝试了各种值,但没有成功。

所以,我一头雾水。谁能告诉我如何(a)为此目的最好地生成一对密钥以及(b)如何将它们应用于 JWT 签名?

4

2 回答 2

1

到目前为止,生成密钥材料的最简单方法是使用generateKeyPair。该方法与运行时无关,只需要一个参数 - 您希望与目标密钥对一起使用的算法标识符。如果您携带自己的密钥,则必须了解密钥的不同要求才能被算法使用。

并非每个运行时的加密功能都可以支持每种算法,每个运行时的可用算法列表可在此处获得。

此外 - 导入 SPKI/PKCS8 编码的密钥材料是特定于平台的,并通过特定于平台的 API 完成。最终的方式KeyLike(CryptoKey(Web)、KeyObject(节点)或 Uint8Array(对称秘密)的类型别名)记录在,好吧,KeyLike alias documentation从使用它的每个函数文档链接。

如果您要为您的步骤提供任何实际的复制代码,我将很乐意提供帮助。

“sign”方法报告密钥必须是“KeyLike”、“CryptoKey”或“Uint8Array”类型。

我相当肯定它KeyObject在运行时说,KeyLike 只是一个类型别名,涵盖适用于不同算法和运行时的所有不同类型的输入。

于 2021-09-11T13:41:58.310 回答
0

我也一直在努力使用joseHS256 对称密钥加密来签名和验证 JWT,但最终能够成功。我通过以下步骤生成它(我jose-node-cjs-runtime仅用于 Node.js 用例。随意替换为所需的包。另外请注意,我发现这些代码适用于 Node.js 版本 16.7.0、16.9.0所以请确保安装了它们中的任何一个。如果要将这些更改部署到生产环境,则还必须确保部署环境具有相同的 Node.js 版本。可以实现的一种方法是提及 Node.jsengines键入的版本package.json):

添加必需的导入

// library for generating symmetric key for jwt
const { createSecretKey } = require('crypto');
// library for signing jwt
const { SignJWT } = require('jose-node-cjs-runtime/jwt/sign');
// library for verifying jwt
const { jwtVerify } = require('jose-node-cjs-runtime/jwt/verify');

创建类型的密钥KeyObject

KeyObjectNode.js 推荐在生成对称、非对称密钥时使用。使用以下代码生成和存储类型为KeyObjectin的对称密钥对象secretKey

const secretKey = createSecretKey(process.env.JWT_SECRET, 'utf-8');

替换process.env.JWT_SECRET为足够长的字符串。它需要足够长(使用长度至少为 32 的字符串),否则在签署 JWT 时会抛出以下错误:HS256 要求对称密钥为 256 位或更大

签署智威汤逊

(async () => {
  const token = await new SignJWT({ id: '12345' }) // details to  encode in the token
      .setProtectedHeader({ alg: 'HS256' }) // algorithm
      .setIssuedAt()
      .setIssuer(process.env.JWT_ISSUER) // issuer
      .setAudience(process.env.JWT_AUDIENCE) // audience
      .setExpirationTime(process.env.JWT_EXPIRATION_TIME) // token expiration time, e.g., "1 day"
      .sign(secretKey); // secretKey generated from previous step
  console.log(token); // log token to console
})();

验证 JWT

我们也将使用存储在其中的相同对称密钥secretKey进行验证。以下代码可用于从请求标头中提取令牌(在 Express 应用程序中)并验证令牌:

(async () => {
    // extract token from request
    const token = req.header('Authorization').replace('Bearer ', '');
    try {
      // verify token
      const { payload, protectedHeader } = await jwtVerify(token, secretKey, {
        issuer: process.env.JWT_ISSUER, // issuer
        audience: process.env.JWT_AUDIENCE, // audience
      });
      // log values to console
      console.log(payload);
      console.log(protectedHeader);
    } catch (e) {
      // token verification failed
      console.log("Token is invalid");
    }
})();
于 2021-09-10T06:39:26.600 回答