C#如何验证JWT令牌上的签名?

时间:2016-08-02 15:44:49

标签: c# hash json-web-token

我试图了解如何使用.NET Framework验证JWT令牌的签名。我正在使用https://jwt.io/处找到的令牌。

如果我理解这是如何工作的,我可以使用HMACSHA256哈希算法和前两个令牌以及一个秘密值来获取令牌的最后一部分。如果匹配,则签名有效。

https://jwt.io/页面上的示例显示了以下列方式计算哈希值:

HMACSHA256(
        base64UrlEncode(header) + "." +
        base64UrlEncode(payload), secret
)

不幸的是,.NET Framework中的HMACSHA256对象没有这样的方法。您必须传入byte []或流。秘密也没有争议。但是,有一个构造函数接受byte []作为键。为了解决这个问题,我一直在将“secret”这个词转换成一个用实例化HMACSHA256对象的byte []。

然后我将base64编码的header.payload字符串转换为byte []并将其传递给ComputeHash对象的HMACSHA256方法。

这是我遇到问题的地方。 ComputeHash的输出是一个字节数组。无论我如何尝试将此byte []转换回字符串,它都不会与签名匹配。我不明白我哪里错了。令牌的签名部分是散列值还是base64编码的散列值?

这是我的代码:

string jwt = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ";
string[] parts = jwt.Split(".".ToCharArray());
string headerDotPayload = string.Format("{0}.{1}", parts[0], parts[1]);

string signature = parts[2];
byte[] secret = System.Text.UTF8Encoding.UTF8.GetBytes("secret");
byte[] input = System.Text.UTF8Encoding.UTF8.GetBytes(headerDotPayload);

var alg = new HMACSHA256(secret);
byte[] hash = alg.ComputeHash(input);

//Attempting to verify
StringBuilder result = new StringBuilder();

for (int i = 0; i < hash.Length; i++)
{
    result.Append(hash[i].ToString("x2"));
}

string verify1 = result.ToString(); //Does not match signature

string verify2 = System.Text.UTF8Encoding.UTF8.GetString(hash); //Does not match signature

byte[] verify3 = System.Text.UTF8Encoding.UTF8.GetBytes(signature); //Does not match value in the hash byte[]

1 个答案:

答案 0 :(得分:2)

  

令牌的签名部分是哈希值还是base64编码   哈希值?

这是一个Base64 Url编码哈希值。您需要对计算的哈希值进行编码以验证相等性。

查看以下单元测试,了解您的验证错误。

[TestClass]
public class JwtUnitTest {
    [TestMethod]
    public void VerifySignature() {

        string jwt = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ";
        string[] parts = jwt.Split(".".ToCharArray());
        var header = parts[0];
        var payload = parts[1];
        var signature = parts[2];//Base64UrlEncoded signature from the token

        byte[] bytesToSign = getBytes(string.Join(".", header, payload));

        byte[] secret = getBytes("secret");

        var alg = new HMACSHA256(secret);
        var hash = alg.ComputeHash(bytesToSign);

        var computedSignature = Base64UrlEncode(hash);

        Assert.AreEqual(signature, computedSignature);
    }

    private static byte[] getBytes(string value) {
        return Encoding.UTF8.GetBytes(value);
    }

    // from JWT spec
    private static string Base64UrlEncode(byte[] input) {
        var output = Convert.ToBase64String(input);
        output = output.Split('=')[0]; // Remove any trailing '='s
        output = output.Replace('+', '-'); // 62nd char of encoding
        output = output.Replace('/', '_'); // 63rd char of encoding
        return output;
    }
}
相关问题
最新问题