使用njwt

时间:2017-04-06 16:14:18

标签: node.js cryptography jwt aws-cognito jwk

我正在尝试弄清楚如何验证从AWS Cognito Identity authenticateUser调用获得的用户IDToken。

按照此处的步骤进行操作:https://docs.aws.amazon.com/cognito/latest/developerguide/amazon-cognito-user-pools-using-tokens-with-identity-providers.html#amazon-cognito-identity-user-pools-using-id-and-access-tokens-in-web-api我能够达到用户ID令牌的位置,并且我已经解码了标题和正文。

鉴于IDToken,这就是我的标题和正文:

头:

{
    typ: 'JWT',
    alg: 'RS256',
    kid: '...'
}

体:

{
    sub: 'abcd...',
    aud: 'abcdefg...',
    email_verified: true,
    token_use: 'id',
    auth_time: 1491491773,
    iss: 'https://cognito-idp.us-east-1.amazonaws.com/us-east-...',
    'cognito:username': 'username',
    exp: 1491495373,
    iat: 1491491773,
    email: 'user@email.com'
}

然后IDToken的第三部分是签名:

'T6tjQ...' // big long encoded string

我坚持的部分实际上是根据我的签名密钥验证签名。我似乎无法让这部分工作。现在我正在尝试使用此处的njwt节点模块:https://www.npmjs.com/package/njwt

IDToken作为3个.分隔的base64编码字符串,并将secretKey作为以下Javascript对象:

{
    alg: 'RS256',
    e: '...',
    kid: '...', // matches kid of IDToken
    kty: 'RSA',
    n: 'abcdefg...', // Appears to be some big long encoded string
    use: 'sig'
}

这是我尝试使用njwt节点模块:

njwt.verify(IDToken, secretKey, 'RS256', function(err, verifiedJwt)
{
    if (err)
    {
        console.log(err);
    }
    else
    {
        console.log('Verified');
    }
});

当我以这种方式尝试时,我得到:

TypeError: Not a buffer
    at Verify.verify (crypto.js:426:24)
    at .../node_modules/njwt/index.js:406:10
    at Verifier.defaultKeyResolver (.../node_modules/njwt/index.js:72:10)
    at Verifier.verify (.../node_modules/njwt/index.js:375:15)
    at Object.jwtLib.verify (.../node_modules/njwt/index.js:457:21)
    at repl:1:6
    at REPLServer.self.eval (repl.js:110:21)
    at repl.js:249:20
    at REPLServer.self.eval (repl.js:122:7)
    at Interface.<anonymous> (repl.js:239:12)

所以我想也许我需要传递secretKey.n而不是secretKey这样:

njwt.verify(IDToken, secretKey.n, 'RS256', function(err, verifiedJwt)
{
    if (err)
    {
        console.log(err);
    }
    else
    {
        console.log('Verified');
    }
});

当我以这种方式尝试时,我得到:

139980866705216:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:696:Expecting: CERTIFICATE

关注我的console.log(err);

{ [JwtParseError: Signature verification failed]
  name: 'JwtParseError',
  userMessage: 'Signature verification failed',
  message: 'Signature verification failed',
  jwtString: 'abcdefg...',
  parsedHeader: {
    typ: 'JWT',
    alg: 'RS256',
    kid: '...'
  },
  parsedBody: {
    sub: 'abcd...',
    aud: 'abcdefg...',
    email_verified: true,
    token_use: 'id',
    auth_time: 1491491773,
    iss: 'https://cognito-idp.us-east-1.amazonaws.com/us-east-...',
    'cognito:username': 'username',
    exp: 1491495373,
    iat: 1491491773,
    email: 'user@email.com'
  },
  innerError: undefined }

我应该如何传递secretKeysecretKey应该是什么以及它应该是什么样的?说实话,我甚至不确定njwt.verify期待什么。

1 个答案:

答案 0 :(得分:0)

看起来问题是field1期待公共RSA密钥。我不得不将我的JWK Set对象转换为公共RSA密钥。我是通过使用njwt.verify节点模块完成的。

从问题中给出相同的jwk-to-pem

secretKey

成功!

相关问题
最新问题