Question

我一直在阅读关于stackOverflow和jwt的文档的许多问题。现在，据我了解，这是我应该计算令牌的方式：

@RequestMapping(value = "product/{code}", method = RequestMethod.DELETE)
public String delete(@PathVariable("code") String code) {
       productDAO.delete(code);
       return "redirect:/productList";
}

从标头和有效负载中删除不必要的空格和换行符，然后将它们都编码为base64url。

header =
{
  "alg": "HS256",
  "typ": "JWT"
}

payload =
{
  "sub": "1234567890",
  "name": "JohnDoe",
  "iat": 1516239022
}
secret = "test123"

与jwt.io上的输出相同，完美。

使用“ test123”作为密码来计算sha256 hmac。

base64urlEncode(header)
// output: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9
base64urlEncode(payload)
// output: eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG5Eb2UiLCJpYXQiOjE1MTYyMzkwMjJ9

将哈希转换为字符串，然后base64url对其进行编码。

我将hex to string converter用于此部分，然后使用base64urlEncode对其进行编码，并得到以下输出： sha256_hmac("eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG5Eb2UiLCJpYXQiOjE1MTYyMzkwMjJ9", "test123) // output: 3b59324118bcd59a5435194120c2cfcb7cf295f25a79149b79145696329ffb95

jwt.io的输出 O1kyQRjCvMOVwppUNRlBIMOCw4_Di3zDssKVw7JaeRTCm3kUVsKWMsKfw7vClQ

但是，如果我转到此页面From Hex, to Base64，则会得到正确的输出： O1kyQRi81ZpUNRlBIMLPy3zylfJaeRSbeRRWljKf-5U

那我做错了什么？为什么将十六进制转换为字符串，然后对其进行编码会输出不同的结果？

万一在线十六进制转换为字符串错误，如何在不使用任何libray的情况下在c ++上将此十六进制转换为字符串（这样我就可以对其进行编码）。如果我将每个字节（2个字符，因为十六进制= 4位）转换为ASCII字符然后进行编码，我是否正确？

谢谢。

Answer 1

您的hmac步骤是正确的，确实具有正确的输出字节（如注释所示）。您遇到的转换问题是由临时字符串中的非显示字符引起的（原始字节未正确复制，从第一个网页粘贴到第二个网页）。

要在每个阶段重现确切的输出，可以在下面使用以下命令。

就C ++而言，您应该尝试对原始字节进行操作，而不是对十六进制字符串进行操作。提取原始字节，然后通过base64 URL安全编码器运行它们。或者，如下面的示例所示，获取原始字节，通过普通的base64编码器运行它们，然后将生成的base64字符串固定为URL安全。

构造标题

jwt_header=$(echo -n '{"alg":"HS256","typ":"JWT"}' | base64 | sed s/\+/-/g | sed 's/\//_/g' | sed -E s/=+$//)

# ans: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9

构造有效载荷

payload=$(echo -n '{"sub":"1234567890","name":"JohnDoe","iat":1516239022}' | base64 | sed s/\+/-/g |sed 's/\//_/g' |  sed -E s/=+$//)

# ans: eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG5Eb2UiLCJpYXQiOjE1MTYyMzkwMjJ9

原始密码

secret="test123"

将密码转换为十六进制（不是base64）

hexsecret=$(echo -n "$secret" | xxd -p | tr -d '\n')

# ans: 74657374313233

执行hmac，并捕获原始字节（注意，这是不可打印的字符串）

hmac_signature_rawbytes=$(echo -n "${jwt_header}.${payload}" |  openssl dgst -sha256 -mac HMAC -macopt hexkey:$hexsecret -binary)

将原始字节转储为十六进制，仅供参考（与OP输出匹配）

echo -n ${hmac_signature_rawbytes} | xxd -p | tr -d '\n'

#ans: 3b59324118bcd59a5435194120c2cfcb7cf295f25a79149b79145696329ffb95

对于JWT签名，请将原始字节转换为base64uri编码

hmac_signature=$(echo -n ${hmac_signature_rawbytes} | base64  | sed s/\+/-/g | sed 's/\//_/g' | sed -E s/=+$//)

#ans: O1kyQRi81ZpUNRlBIMLPy3zylfJaeRSbeRRWljKf-5U

创建完整令牌

jwt="${jwt_header}.${payload}.${hmac_signature}"

# ans: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG5Eb2UiLCJpYXQiOjE1MTYyMzkwMjJ9.O1kyQRi81ZpUNRlBIMLPy3zylfJaeRSbeRRWljKf-5U

手动计算JWT签名永远不会输出真实签名

1 个答案: