我需要创建一个Json Web Token并使用不对称进行签名 RS256算法。用于签名的密钥应取自a X509证书,并由接收方使用公钥验证。
使用HMAC和密码工作正常,但JWT使用代码创建 如下所列,在https://jwt.io
处不断产生“无效签名”我在这里发了很多帖子,发现了很多有用的提示,但没有一个能解决我的问题。也许我在理解上仍然存在问题。
我知道,System.IdentityModel.Tokens.Jwt包实际上提供了我所需要的一切, 但我想了解我做错了什么。
// Get certificate from local store
X509Store store = new X509Store(StoreLocation.CurrentUser);
store.Open(OpenFlags.ReadOnly);
X509Certificate2 x509Cert = (from X509Certificate2 c in store.Certificates where c.SubjectName.Name == $"CN={userName}" select c).First();
if (x509Cert == null)
{
return string.Empty;
}
// Setup header
var header = new { typ = "JWT", alg = "RS256" };
var headerEncoded = Convert.ToBase64String(Encoding.UTF8.GetBytes(JsonConvert.SerializeObject(header)));
// Setup payload/claims
var payload = new
{
unique_name = $"{userName}@myCompany.com",
role = "User",
iss = x509Cert.Issuer,
aud = "https://dev.myCompany.com",
nbf = (Int32)DateTime.Now.Subtract(new DateTime(1970, 1, 1)).TotalSeconds,
exp = (Int32)DateTime.Now.AddMinutes(5).Subtract(new DateTime(1970, 1, 1)).TotalSeconds,
jti = Guid.NewGuid(),
x5t = x509Cert.Thumbprint
};
var payloadEncoded = Convert.ToBase64String(Encoding.UTF8.GetBytes(JsonConvert.SerializeObject(payload)));
// ... and sign, using the RSACertificateExtensions
var rsa = x509Cert.GetRSAPrivateKey();
var signed = rsa.SignData(Encoding.UTF8.GetBytes($"{headerEncoded}.{payloadEncoded}"),
HashAlgorithmName.SHA256,
RSASignaturePadding.Pss);
var signatureEncoded = Convert.ToBase64String(signed);
return $"{headerEncoded}.{payloadEncoded}.{signatureEncoded}";
}
答案 0 :(得分:2)
构建令牌时遇到一些错误:
RS256使用RSASignaturePadding.Pkcs1而非RSASignaturePadding.Pss
需要base64url编码,而不是base64。使用
Convert.ToBase64String(bytes)
Convert.ToBase64String(bytes)
.TrimEnd(padding).Replace('+', '-').Replace('/', '_');
使用static readonly char[] padding = { '=' };查看this