正在node.js中验证JWT

Validating a JWT in node.js

本文关键字：验证 JWT js node 正在更新时间：2023-09-26

我正试图基于此示例（在.NET中编写）在node.js中解析和验证JWT令牌：https://github.com/liveservices/LiveSDK/blob/master/Samples/Asp.net/AuthenticationTokenSample/JsonWebToken.cs

这是我的节点js javascript，用于验证令牌：

var validateSignature = function(key, claims, envelope, signature) {
    var hasher = crypto.createHash('sha256');
    hasher.update(key + "JWTSig");
    var key = hasher.digest('binary');
    var hmac = crypto.createHmac('sha256', key);
    hmac.update(envelope + '.' + claims);
    var out = hmac.digest('base64');
    console.log(out);
    console.log(signature);
    console.log(out === signature);
}

现在，非常奇怪的是——它几乎奏效了。以下是三个console.log语句的输出：

pEwNPJ+LUHBdvNx631UzdyVhPFUOvFY8jG3x/cP81FE=
pEwNPJ-LUHBdvNx631UzdyVhPFUOvFY8jG3x_cP81FE
false

在我看来，除了+-/_=之外，散列都是一样的，这似乎很可疑

有人发现我的错误了吗？与我的base64编码有关。

更新

我又玩了一些，这里的base64编码似乎有点奇怪。节点js中的以下代码：

console.log(signature);
var b = new Buffer(signature, 'base64');
console.log(b.toString('base64'));

收益率：

pEwNPJ-LUHBdvNx631UzdyVhPFUOvFY8jG3x_cP81FE
pEwNPJLUHBdvNx631UzdyVhPFUOvFY8jG3xcP81F

这看起来很奇怪，对吧？

感谢Timothy Meade的评论并将我推向正确的方向。

节点的缓冲区类型生成带有+、/和=的标准Base64

这里提到了一个URL安全的base64编码：http://en.wikipedia.org/wiki/Base64

它将+替换为-，/替换为_，并且=是可选的。QueryString（d'uh）上传递的令牌是URL安全版本。因此产生了差异。

代码由一个简单的修复

out = out.replace('+','-').replace('/','_').replace('=','');

我不久前写了这个库，我想您可以使用其中的一些代码。它应该同时在node.js和现代浏览器中运行。

javascript的JWT库

这不是您尝试使用的确切方法，但我相信这是在NodeJS中验证JWT的首选方法。请注意，我使用NPM base64url库在base64Url（JWT的默认编码）和base64（NodeJS对验证函数的期望）之间进行转换。

还要注意，您需要一个公用和专用密钥对来分别进行签名和验证。我在这篇文章的底部包含了用于签署和验证JWT的私钥和公钥。

const base64 = require('base64url');
const crypto = require('crypto');
const verifyFunction = crypto.createVerify('RSA-SHA256');
const fs = require('fs');
// The sample JWT from https://jwt.io/
const JWT = 'eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWUsImlhdCI6MTUxNjIzOTAyMn0.POstGetfAytaZS82wHcjoTyoqhMyxXiWdR7Nn7A29DNSl0EiXLdwJ6xC6AfgZWF1bOsS_TuYI3OG85AmiExREkrS6tDfTQ2B3WXlrr-wp5AokiRbz3_oB4OxG-W9KcEEbDRcZc0nH3L7LzYptiy1PtAylQGxHTWZXtGz4ht0bAecBgmpdgXMguEIcoqPJ1n3pIWk_dUZegpqx0Lka21H6XxUTxiy8OcaarA8zdnPUnV6AmNP3ecFawIFYdvJB_cm-GvpCSbr8G8y_Mllj8f4x9nBH8pQux89_6gUY618iYv7tuPWBFfEbLxtF2pZS6YC1aSfLQxeNe8djT9YjpvRZA';
// This just gets the value of the public key (same as the one at bottom of this post)
const PUB_KEY = fs.readFileSync(__dirname + '/id_rsa_pub.pem', 'utf8');
// Split the JWT by `.` to get each part
const jwtHeader = JWT.split('.')[0];
const jwtPayload = JWT.split('.')[1];
const jwtSignature = JWT.split('.')[2];
// We only need the first two pieces to verify
verifyFunction.write(jwtHeader + '.' + jwtPayload);
verifyFunction.end();
// IMPORTANT: NodeJS expects base64 format, not base64url format!
const jwtSignatureBase64 = base64.toBase64(jwtSignature);
// IMPORTANT: You need to specify that the `jwtSignatureBase64` data is base64 format, 
// otherwise, it will default to Buffer format and return false
const signatureIsValid = verifyFunction.verify(PUB_KEY, jwtSignatureBase64, 'base64');
console.log(signatureIsValid); // true

下面的密钥来自这里提到的JWT示例。

私钥：

公钥：