如何在 CryptoJS 中使用私钥 (pem) 签署 JWT?

【问题标题】:How to sign a JWT with a private key (pem) in CryptoJS?如何在 CryptoJS 中使用私钥 (pem) 签署 JWT?
【发布时间】:2019-05-26 16:29:42
【问题描述】:

我正在尝试使用以下代码在邮递员中创建签名的 JWT 

function base64url(source) {
    // Encode in classical base64
    encodedSource = CryptoJS.enc.Base64.stringify(source);

    // Remove padding equal characters
    encodedSource = encodedSource.replace(/=+$/, '');

    // Replace characters according to base64url specifications
    encodedSource = encodedSource.replace(/\+/g, '-');
    encodedSource = encodedSource.replace(/\//g, '_');

    return encodedSource;
}

function addIAT(request) {
    var iat = Math.floor(Date.now() / 1000) + 257;
    data.iat = iat;
    return data;
}


var header = {
    "typ": "JWT",
    "alg": "HS256"
};

var data = {
    "fname": "name",
    "lname": "name",
    "email": "email@domain.com",
    "password": "abc123$"
};

data = addIAT(data);

var secret = 'myjwtsecret';

// encode header
var stringifiedHeader = CryptoJS.enc.Utf8.parse(JSON.stringify(header));
var encodedHeader = base64url(stringifiedHeader);

// encode data
var stringifiedData = CryptoJS.enc.Utf8.parse(JSON.stringify(data));
var encodedData = base64url(stringifiedData);

// build token
var token = encodedHeader + "." + encodedData;

// sign token
var signature = CryptoJS.HmacSHA256(token, secret);
signature = base64url(signature);
var signedToken = token + "." + signature;

postman.setEnvironmentVariable("payload", signedToken);

代码取自https://gist.github.com/corbanb/db03150abbe899285d6a86cc480f674d

我一直在尝试输入 PEM 作为密码,但不起作用。也找不到任何采用 PEM 的 HmacSHA256 重载。

如何做到这一点?

【问题讨论】:

  • 你最终设法让它工作了吗?

标签: javascript jwt postman cryptojs


【解决方案1】:

邮递员的提及改变了这一点。我有一个解决方案给你,但无论如何它都不是一个干净的方法。

您需要创建一个请求,在您打开邮递员时需要执行该请求。如下:

此请求的目的是侧载 jsrsasign-js 并将其存储在全局 Postman 变量中。

完成后,您可以在其他地方使用此内容。对于每个需要 RSA256 JWT 签名的请求,以下预请求脚本将使用令牌更新变量(此处为 token):

var navigator = {};
var window = {};
eval(pm.globals.get("jsrsasign-js"));

function addIAT(request) {
    var iat = Math.floor(Date.now() / 1000) + 257;
    data.iat = iat;
    return data;
}

var header = {"alg" : "RS256","typ" : "JWT"};
var data = {
    "fname": "name",
    "lname": "name",
    "email": "email@domain.com",
    "password": "abc123$"
};

data = addIAT(data);

var privateKey = "-----BEGIN RSA PRIVATE KEY----- \
MIIBOQIBAAJAcrqH0L91/j8sglOeroGyuKr1ABvTkZj0ATLBcvsA91/C7fipAsOn\
RqRPZr4Ja+MCx0Qvdc6JKXa5tSb51bNwxwIDAQABAkBPzI5LE+DuRuKeg6sLlgrJ\
h5+Bw9kUnF6btsH3R78UUANOk0gGlu9yUkYKUkT0SC9c6HDEKpSqILAUsXdx6SOB\
AiEA1FbR++FJ56CEw1BiP7l1drM9Mr1UVvUp8W71IsoZb1MCIQCKUafDLg+vPj1s\
HiEdrPZ3pvzvteXLSuniH15AKHEuPQIhAIsgB519UysMpXBDbtxJ64jGj8Z6/pOr\
NrwV80/EEz45AiBlgTLZ2w2LjuNIWnv26R0eBZ+M0jHGlD06wcZK0uLsCQIgT1kC\
uNcDTERjwEbFKJpXC8zTLSPcaEOlbiriIKMnpNw=\
-----END RSA PRIVATE KEY-----";

var sHeader = JSON.stringify(header);
var sPayload = JSON.stringify(data);

var sJWT = KJUR.jws.JWS.sign(header.alg, sHeader, sPayload, privateKey);

pm.variables.set('token', sJWT);

按顺序:

  • 我将模拟 windownavigator 对象定义为 jsrsasign-js 需要它们。
  • 然后我 eval() 我们之前提取的内容,以便为所有内容补充水分
  • 其余代码是jsrsasign-js 的简单用法。你的令牌信息在那里,我在那里定义了一个私钥。您可以更改此设置或使用环境变量;它只是用于演示目的。然后,我只需使用重新水化的库对其进行签名,并将变量设置为已签名 JWT 的值。

正如您所指的,PEM 是一种容器格式,指定了公钥和/或私钥的组合。您正在使用它使用HMAC-SHA256 进行签名,它对共享 秘密进行操作。这显然是行不通的(除非你采取穷人的方法并使用你的公钥作为共享秘密)。

幸运的是,RFC 中还定义了其他签名方法。例如,有一种使用RSA 签名的方法,以及一种将公钥定义为JSON web key (JWK) 的非常方便的方法。我们将同时利用两者。

我已经生成了一个用于测试的密钥对,它们被命名为 outout.pub。生成工具是genrsa(因此,它们是一个 RSA 密钥对)。

为了签署,我们将不得不改变一些事情:

  • 如上所述,我们正在将算法从 HS256 更改为 RS256
  • 我们将需要一个新的库来自己进行签名,因为crypto-js 不支持非对称密钥加密。我们将退回到原生的 crypto 模块,尽管有纯 JS 替代方案

代码:

var CryptoJS = require("crypto-js");
var keyFileContent = require("fs").readFileSync("./out");
var pubkey = require("fs").readFileSync("./out.pub");
var base64url = require("base64url");
var nJwt = require("njwt");
function addIAT(request) {
    var iat = Math.floor(Date.now() / 1000) + 257;
    data.iat = iat;
    return data;
}


var header = {
    "typ": "JWT",
    "alg": "RS256"
};

var data = {
    "fname": "name",
    "lname": "name",
    "email": "email@domain.com",
    "password": "abc123$"
};

data = addIAT(data);

// encode header
var stringifiedHeader = JSON.stringify(header);
var encodedHeader = base64url(stringifiedHeader);

// encode data
var stringifiedData = JSON.stringify(data);
var encodedData = base64url(stringifiedData);

// build token
var token = encodedHeader + "." + encodedData;

// sign token
var signatureAlg = require("crypto").createSign("sha256");
signatureAlg.update(token);
var signature = signatureAlg.sign(keyFileContent);
signature = base64url(signature);
var signedToken = token + "." + signature;

console.log(signedToken);

// Verify
var verifier = new nJwt.Verifier();
verifier.setSigningAlgorithm('RS256');
verifier.setSigningKey(pubkey);
verifier.verify(signedToken, function() {
  console.log(arguments);
});

就是这样!就这么简单,尽管我不建议从头开始重写 crypto 中的 sign() 函数。把它留给经过社区彻底检查的图书馆,加密是非常严肃的事情。

【讨论】:

  • 我不能在 Postman 中使用它。 Postman 拒绝加载 base64url 和 njwt 模块,由于某种原因它加载了 crypto-js
  • Postman 的沙箱只允许部分节点模块learning.getpostman.com/docs/postman/scripts/…crypto-js 是唯一的加密相关模块)
  • 那会很有趣,因为 cryptojs 不支持 RSA。
  • 解决了:私钥里面有空格字符。他们需要格式化密钥并且没有转义的空格。
  • 这是 SO 最被低估的答案之一,即使给予了赏金。 ) 我最终采用了稍微不同的处理 PK 的方法,使其成为环境设置的一部分(从而避免了从 pre-req 脚本中删除它的需要)。
猜你喜欢
  • 2019-05-13
  • 2021-02-06
  • 2017-07-04
  • 2019-08-27
  • 2016-12-12
  • 2018-11-20
  • 2014-11-01
  • 1970-01-01
  • 2022-08-06
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode