Question

我正在尝试根据此示例（在.NET中创作）解析并验证node.js中的JWT令牌：https://github.com/liveservices/LiveSDK/blob/master/Samples/Asp.net/AuthenticationTokenSample/JsonWebToken.cs

这是我的节点js javascript验证令牌：

var validateSignature = function(key, claims, envelope, signature) {
    var hasher = crypto.createHash('sha256');
    hasher.update(key + "JWTSig");
    var key = hasher.digest('binary');
    var hmac = crypto.createHmac('sha256', key);
    hmac.update(envelope + '.' + claims);
    var out = hmac.digest('base64');
    console.log(out);
    console.log(signature);
    console.log(out === signature);
}

现在，非常奇怪的是 - 它几乎可以运作。这是三个console.log语句的输出：

pEwNPJ+LUHBdvNx631UzdyVhPFUOvFY8jG3x/cP81FE=
pEwNPJ-LUHBdvNx631UzdyVhPFUOvFY8jG3x_cP81FE
false

除了+ - / _ =

之外，哈希似乎都是相同的

有人发现我的错误吗？与我的base64编码有关。

更新

我玩了一些，似乎在这里使用base64编码时会发生一些时髦的事情。节点js中的以下代码：

console.log(signature);
var b = new Buffer(signature, 'base64');
console.log(b.toString('base64'));

的产率：

pEwNPJ-LUHBdvNx631UzdyVhPFUOvFY8jG3x_cP81FE
pEwNPJLUHBdvNx631UzdyVhPFUOvFY8jG3xcP81F

这看起来很奇怪，对吧？

Answer 1

感谢Timothy Meade发表评论并推动我朝着正确的方向前进。

Node的Buffer类型生成带有+，/和=

的标准Base64

这里提到了一个URL安全base64编码：http://en.wikipedia.org/wiki/Base64

用 - 替换+，用_和=替换是可选的。在QueryString（d'uh）上传递的令牌是URL安全版本。因此存在差异。

代码由一个简单的修复：

out = out.replace('+','-').replace('/','_').replace('=','');

Answer 2

我刚刚写了这个库，我想你可以使用一些代码。它应该在node.js和现代浏览器中运行。

JWT library for javascript

Answer 3

这不是您尝试使用的确切方法，但是我认为这是在NodeJS中验证JWT的首选方法。请注意，我正在使用NPM base64url库在base64Url（JWT的默认编码）和base64（NodeJS对验证功能的期望）之间进行转换。

还请注意，您需要一个公共和私有密钥对来分别签名和验证。我在本文的底部包含了用于签名和验证此JWT的私钥和公钥。

const base64 = require('base64url');
const crypto = require('crypto');
const verifyFunction = crypto.createVerify('RSA-SHA256');
const fs = require('fs');

// The sample JWT from https://jwt.io/
const JWT = 'eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWUsImlhdCI6MTUxNjIzOTAyMn0.POstGetfAytaZS82wHcjoTyoqhMyxXiWdR7Nn7A29DNSl0EiXLdwJ6xC6AfgZWF1bOsS_TuYI3OG85AmiExREkrS6tDfTQ2B3WXlrr-wp5AokiRbz3_oB4OxG-W9KcEEbDRcZc0nH3L7LzYptiy1PtAylQGxHTWZXtGz4ht0bAecBgmpdgXMguEIcoqPJ1n3pIWk_dUZegpqx0Lka21H6XxUTxiy8OcaarA8zdnPUnV6AmNP3ecFawIFYdvJB_cm-GvpCSbr8G8y_Mllj8f4x9nBH8pQux89_6gUY618iYv7tuPWBFfEbLxtF2pZS6YC1aSfLQxeNe8djT9YjpvRZA';

// This just gets the value of the public key (same as the one at bottom of this post)
const PUB_KEY = fs.readFileSync(__dirname + '/id_rsa_pub.pem', 'utf8');

// Split the JWT by `.` to get each part
const jwtHeader = JWT.split('.')[0];
const jwtPayload = JWT.split('.')[1];
const jwtSignature = JWT.split('.')[2];

// We only need the first two pieces to verify
verifyFunction.write(jwtHeader + '.' + jwtPayload);
verifyFunction.end();

// IMPORTANT: NodeJS expects base64 format, not base64url format!
const jwtSignatureBase64 = base64.toBase64(jwtSignature);

// IMPORTANT: You need to specify that the `jwtSignatureBase64` data is base64 format, 
// otherwise, it will default to Buffer format and return false
const signatureIsValid = verifyFunction.verify(PUB_KEY, jwtSignatureBase64, 'base64');

console.log(signatureIsValid); // true

下面的键来自示例JWT mentioned here。

私钥：

公钥：

在node.js中验证JWT

3 个答案: