go - 解析 jwt 令牌时在哪里验证 JWT 密钥?
问题描述
我正在阅读 JWT 的示例文件夹,我有点不确定验证令牌的工作原理。
func ExampleNewWithClaims_customClaimsType() {
mySigningKey := []byte("AllYourBase")
type MyCustomClaims struct {
Foo string `json:"foo"`
jwt.StandardClaims
}
// Create the Claims
claims := MyCustomClaims{
"bar",
jwt.StandardClaims{
ExpiresAt: 15000,
Issuer: "test",
},
}
token := jwt.NewWithClaims(jwt.SigningMethodHS256, claims)
ss, err := token.SignedString(mySigningKey)
fmt.Printf("%v %v", ss, err)
//Output: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJmb28iOiJiYXIiLCJleHAiOjE1MDAwLCJpc3MiOiJ0ZXN0In0.HE7fK0xOQwFEr4WDgRWj4teRPZ6i3GLwD5YCm6Pwu_c <nil>
}
这里很简单,令牌在这里token.SignedString(mySigningKey)
使用“mySigningKey”签名
现在对我来说,反解析不太清楚:
func ExampleParseWithClaims_customClaimsType() {
tokenString := "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJmb28iOiJiYXIiLCJleHAiOjE1MDAwLCJpc3MiOiJ0ZXN0In0.HE7fK0xOQwFEr4WDgRWj4teRPZ6i3GLwD5YCm6Pwu_c"
type MyCustomClaims struct {
Foo string `json:"foo"`
jwt.StandardClaims
}
// sample token is expired. override time so it parses as valid
at(time.Unix(0, 0), func() {
token, err := jwt.ParseWithClaims(tokenString, &MyCustomClaims{}, func(token *jwt.Token) (interface{}, error) {
return []byte("AllYourBase"), nil
})
if claims, ok := token.Claims.(*MyCustomClaims); ok && token.Valid {
fmt.Printf("%v %v", claims.Foo, claims.StandardClaims.ExpiresAt)
} else {
fmt.Println(err)
}
})
// Output: bar 15000
}
为了验证客户端返回的令牌字符串的签名是否有效,您需要
- 解码声明(在 &MyCustomClaims{} 中完成)
- 使用 token.Valid 验证解码声明的签名部分是否对“令牌中包含的 pub 密钥”有效。
但是这个例子只是解码密钥,通过“魔法”返回的是密钥/签名密钥?
这对我来说根本没有意义。同样返回对公钥的有效声明是没有用的,因为它可以由任何私钥完成。
我错过了什么?
解决方案
验证不是由令牌中包含的公钥完成的。
HS256 是对称的,因此无论您使用什么密钥来签署令牌,都必须使用相同的密钥来验证签名,这就是正在发生的事情。传递给的函数ParseWithClaims
返回用于签署令牌的相同密钥。
如果使用非对称签名算法,您将使用私钥对令牌进行签名,然后使用公钥对其进行验证,并且该嵌套函数必须返回公钥ParseWithClaims
才能对其进行验证。
听起来让您感到困惑的部分是:
jwt.ParseWithClaims(tokenString, &MyCustomClaims{}, func(token *jwt.Token) (interface{}, error) {
return []byte("AllYourBase"), nil
})
传递给的嵌套函数ParseWithClaims
应该检查传递的令牌,并返回可用于验证签名的正确密钥。对于 HS256,它与用于签名的密钥相同。对于 RSxxx,它是公钥,它应该返回哪个公钥可以从传入的令牌中检索。它通常包含一个公钥 id,因此您可以选择正确的密钥。
推荐阅读
- javascript - 连接 React Dropzone Uploader 和 Flask
- python-3.x - 如何使用 matplotlib 绘制日期时间?
- c# - 区域周围经过的记录时间(统一)
- angular - Angular 9.0 ngserve 在 vendor.js 文件中抛出“无效令牌”错误
- javascript - 如何获取变量并将其用作反应中的道具?
- java - 对 Blob 存储的 Azure 标识访问
- oracle - 在 SQL*Plus 中创建表时遇到问题
- javascript - 带有 Firebase 数据的 Angular 应用程序:为什么我会看到上一页的数据?
- python - 将文件上传到谷歌翻译器进行翻译
- javascript - Icecast 用户认证和网络音频 API