经验首页 前端设计 程序设计 Java相关 移动开发 数据库/运维 软件/图像 大数据/云计算 其他经验
当前位置:技术经验 » 程序设计 » Go语言 » 查看文章
golang使用JWX进行认证和加密
来源:cnblogs  作者:charlieroro  时间:2023/2/22 15:21:48  对本文有异议

golang使用JWX进行认证和加密

最近看了一个名为go-auth的库,它将JWT作为HTTP cookie对用户进行验证,但这个例子中缺少了对JWT的保护,由此进行了一些针对JWX的研究。

下面描述来自golang-jwt的官方描述:

概述

JWT是一个签名的JSON对象,通常用作Oauth2的Bearer token,JWT包括三个用.分割的部分:前两部分为使用base64url编码的JSON对象,最后一部分是签名。第一部分称为header,包含用于验证最后一部分签名所需的信息,如使用的签名方式和使用的密钥等,中间的部分是程序最关心的部分,称为ClaimRFC 7519定义了相关的字段,当然也可以添加自己的字段。

签名 vs 加密

一个token是一个签名的json对象,涉及两方面的内容:

  • token的创建者拥有签名的secret
  • 数据一旦被签名就不能修改

需要注意的是,JWT并不支持加密,因此任何人都能读取token 的内容。如果需要加密数据,可以使用配套的规范--JWE,可以参考这两个库:lestrrat-go/jwxgolang-jwt/jwe

选择签名方法

签名方法有很多种,在使用前可能需要花时间挑选合适的签名方法,主要考量点为:对称和非对称。

对称签名方法,如HSA,只需要一个secret即可,这也是最简单的签名方法,可以使用任何[]byte作为有效的secret。对称加密的计算速度也相对快一些。当token的生产者和消费者都可信的前提下,可以考虑使用对称加密。由于对称加密使用相同的secret进行token的签名和验证,因此不能轻易将密钥分发出去。

非对称签名,如RSA,则使用了不同的密钥进行签名和token验证,因此可以使用私钥生成token,并允许消费者使用公钥进行验证。

JWT和OAuth

这里提一下,OAuth和JWT并不是一回事,一个JWT token只是一个简单的被签名的JSON对象,可以用在所需要的地方,最常见的方式是用在OAuth2认证中。

下面描述了二者是如何交互的:

  • OAuth是一种允许身份提供者与用户登录的服务分离的协议。例如,你可以使用Facebook登陆不同的服务(Yelp、Spotify等),此时用的就是OAuth。
  • OAuth定义了几种传递身份验证数据的选项,其中流行的一种方式称为"bearer token",一个bearer token就是一个只能被已认证的用户持有的简单字符串,即通过提供该token来进行身份认证。从这里可以看出JWT可以作为一种bearer token。
  • 由于bearer token用于认证,因此私密性很重要,这也是为什么通常会通过SSL来使用bearer token。

JWT的用法

从上面的官方描述中可以看到JWT其实就是一个字符串,其分为三段:header,主要指定签名方法;claim,用于提供用户身份数据;signature,使用header中指定的签名方法进行签名,签名时主要使用了三个基础数据:

  1. 签名密钥:在对称签名(如HMAC)中作为哈希数据的一部分,在非对称签名(如ECDSA)中则作为私钥。在JWT的签名和验证过程中都需要使用到密钥。

  2. JWT的过期时间:JWT有一个过期时间。在用户登陆服务器之后,服务器会给客户端返回JWT,当客户端服务服务端时会将JWT传递给服务端,服务端除了需要验证客户端的签名之外还需要验证该token是否过期,JWT的过期时间数据位于claims中。

  3. claim:主要包含了JWT相关的信息,用户可以扩展自己的claim信息。签名方法会使用这部分信息进行签名。如下是标准的claims,可以看到这部分信息其实与SSL证书中的字段雷同。

    1. type StandardClaims struct {
    2. Audience string `json:"aud,omitempty"`
    3. ExpiresAt int64 `json:"exp,omitempty"`
    4. Id string `json:"jti,omitempty"`
    5. IssuedAt int64 `json:"iat,omitempty"`
    6. Issuer string `json:"iss,omitempty"`
    7. NotBefore int64 `json:"nbf,omitempty"`
    8. Subject string `json:"sub,omitempty"`
    9. }

另外需要注意的是,JWT是使用明文交互的,其中claim中包含了用户的敏感信息,因此需要使用JWE进行加密。

在了解JWT之前可以看下几个重要的术语:

  • JWS(SignedJWT):经过签名的jwt,为三段式结构:headerclaimssignature

  • JWA:签名算法,即 header中的alg字段值。

  • JWE(EncryptedJWT):用于加密payload,如JWT,主要字段如下:

    1. const (
    2. AgreementPartyUInfoKey = "apu" #(Algorithm) Header Parameter
    3. AgreementPartyVInfoKey = "apv"
    4. AlgorithmKey = "alg" #(Algorithm) Header Parameter
    5. CompressionKey = "zip" #(Compression Algorithm) Header Parameter
    6. ContentEncryptionKey = "enc" #(Encryption Algorithm) Header Parameter
    7. ContentTypeKey = "cty" #(Content Type) Header Parameter
    8. CriticalKey = "crit" #(Critical) Header Parameter
    9. EphemeralPublicKeyKey = "epk"
    10. JWKKey = "jwk" #(JSON Web Key) Header Parameter
    11. JWKSetURLKey = "jku" #(JWK Set URL) Header Parameter
    12. KeyIDKey = "kid" #(Key ID) Header Parameter
    13. TypeKey = "typ" #(Type) Header Parameter
    14. X509CertChainKey = "x5c" #(X.509 Certificate Chain) Header Parameter
    15. X509CertThumbprintKey = "x5t" #(X.509 Certificate SHA-1 Thumbprint) Header Parameter
    16. X509CertThumbprintS256Key = "x5t#S256" #(X.509 Certificate SHA-256 Thumbprint) Header Parameter
    17. X509URLKey = "x5u" #(X.509 URL) Header Parameter
    18. )
  • JWK:是一个JSON数据结构,用于JWS的签名验证以及JWE的加解密,主要字段如下:

    1. const (
    2. KeyTypeKey = "kty" #(Key Type) Parameter
    3. KeyUsageKey = "use" #(Public Key Use) Parameter
    4. KeyOpsKey = "key_ops" #(Key Operations) Parameter
    5. AlgorithmKey = "alg" #(Algorithm) Parameter
    6. KeyIDKey = "kid" #(Key ID) Parameter
    7. X509URLKey = "x5u" #(X.509 URL) Parameter
    8. X509CertChainKey = "x5c" #(X.509 Certificate Chain) Parameter
    9. X509CertThumbprintKey = "x5t" #(X.509 Certificate SHA-1 Thumbprint) Parameter
    10. X509CertThumbprintS256Key = "x5t#S256" #(X.509 Certificate SHA-256 Thumbprint) Parameter
    11. )

例子

lestrrat-go库中给出了很多例子。在使用该库之前简单看下主要的函数:

  • jwt.NewBuilder:创建一个表示JWT 的结构体(也可以使用jwt.New创建):

    1. type stdToken struct {
    2. mu *sync.RWMutex
    3. dc DecodeCtx // per-object context for decoding
    4. options TokenOptionSet // per-object option
    5. audience types.StringList // https://tools.ietf.org/html/rfc7519#section-4.1.3
    6. expiration *types.NumericDate // https://tools.ietf.org/html/rfc7519#section-4.1.4
    7. issuedAt *types.NumericDate // https://tools.ietf.org/html/rfc7519#section-4.1.6
    8. issuer *string // https://tools.ietf.org/html/rfc7519#section-4.1.1
    9. jwtID *string // https://tools.ietf.org/html/rfc7519#section-4.1.7
    10. notBefore *types.NumericDate // https://tools.ietf.org/html/rfc7519#section-4.1.5
    11. subject *string // https://tools.ietf.org/html/rfc7519#section-4.1.2
    12. privateClaims map[string]interface{} //用户自定义的claims
    13. }
  • jwt.Sign:用于对JWT 进行签名,输入为表示JWT元素的stdToken,输出为[]byte

  • jwt.Parse:将签名的token解析为stdToken,输入为jwt.Sign的输出。

  • jws.sign:使用字符串来创建JWS消息,入参为[]byte。与jwt.Sign的不同点在于,前者的入参是stdToken标准结构体,而后者是任意字符串。

  • jws.parse:对编码的JWS消息进行解码,输出结构如下:

    1. type Message struct {
    2. dc DecodeCtx
    3. payload []byte
    4. signatures []*Signature
    5. b64 bool // true if payload should be base64 encoded
    6. }
  • jwe.Encrypt:加密payload

  • jwe.Decrypt:解密payload

下面看下如何生成JWT,以及如何结合使用JWE和JWK对其进行加密。

Example 1

下面jwt使用对称方式进行签名/解析,jwe使用非对称方式进行加解密

  1. package main
  2. import (
  3. "crypto/rand"
  4. "crypto/rsa"
  5. "fmt"
  6. "github.com/lestrrat-go/jwx/v2/jwa"
  7. "github.com/lestrrat-go/jwx/v2/jwe"
  8. "github.com/lestrrat-go/jwx/v2/jwk"
  9. "github.com/lestrrat-go/jwx/v2/jws"
  10. "github.com/lestrrat-go/jwx/v2/jwt"
  11. "time"
  12. )
  13. func main() {
  14. // 创建一个jwt token结构体
  15. tok, err := jwt.NewBuilder().
  16. Issuer(`github.com/lestrrat-go/jwx`).
  17. IssuedAt(time.Now()).
  18. Build()
  19. if err != nil {
  20. fmt.Printf("failed to build token: %s\n", err)
  21. return
  22. }
  23. //创建对称签名的key
  24. key, err := jwk.FromRaw([]byte(`abracadabra`))
  25. if err != nil {
  26. fmt.Printf(`failed to create new symmetric key: %s`, err)
  27. return
  28. }
  29. key.Set(jws.KeyIDKey, `secret-key`)
  30. //使用HS256对称签名方式进行签名,生成JWS
  31. signed, err := jwt.Sign(tok, jwt.WithKey(jwa.HS256, key))
  32. //下面使用jwe对JWS进行加密,使用的是非对称加密方式
  33. //首先生成RSA密钥对
  34. rawprivkey, err := rsa.GenerateKey(rand.Reader, 2048)
  35. if err != nil {
  36. fmt.Printf("failed to create raw private key: %s\n", err)
  37. return
  38. }
  39. //提取私钥,用于解密
  40. privkey, err := jwk.FromRaw(rawprivkey)
  41. if err != nil {
  42. fmt.Printf("failed to create private key: %s\n", err)
  43. return
  44. }
  45. //提取公钥,用于加密
  46. pubkey, err := privkey.PublicKey()
  47. if err != nil {
  48. fmt.Printf("failed to create public key:%s\n", err)
  49. return
  50. }
  51. //使用公钥加密JWS
  52. encrypted, err := jwe.Encrypt(signed, jwe.WithKey(jwa.RSA_OAEP, pubkey))
  53. if err != nil {
  54. fmt.Printf("failed to encrypt payload: %s\n", err)
  55. return
  56. }
  57. //使用私钥解密出JWS
  58. decrypted, err := jwe.Decrypt(encrypted, jwe.WithKey(jwa.RSA_OAEP, privkey))
  59. if err != nil {
  60. fmt.Printf("failed to decrypt payload: %s\n", err)
  61. return
  62. }
  63. //使用对称签名方式解析出token 结构体
  64. parsedTok, err := jwt.Parse(decrypted, jwt.WithKey(jwa.HS256, key), jwt.WithValidate(true))
  65. if err != nil {
  66. fmt.Println("failed to parse signed token")
  67. return
  68. }
  69. fmt.Println(parsedTok)
  70. }

Example 2

下面使用非对称方式进行签名/解析:

  1. package main
  2. import (
  3. "crypto/rand"
  4. "crypto/rsa"
  5. "fmt"
  6. "github.com/lestrrat-go/jwx/v2/jwa"
  7. "github.com/lestrrat-go/jwx/v2/jwt"
  8. )
  9. func main() {
  10. //创建RSA密钥对
  11. privKey, err := rsa.GenerateKey(rand.Reader, 2048)
  12. if err != nil {
  13. fmt.Printf("failed to generate private key: %s\n", err)
  14. return
  15. }
  16. var payload []byte
  17. { // 创建JWT payload
  18. token := jwt.New()
  19. token.Set(`foo`, `bar`)
  20. //使用RSA私钥进行签名
  21. payload, err = jwt.Sign(token, jwt.WithKey(jwa.RS256, privKey))
  22. if err != nil {
  23. fmt.Printf("failed to generate signed payload: %s\n", err)
  24. return
  25. }
  26. }
  27. { // 使用RSA公钥进行解析
  28. token, err := jwt.Parse(
  29. payload,
  30. jwt.WithValidate(true),
  31. jwt.WithKey(jwa.RS256, &privKey.PublicKey),
  32. )
  33. if err != nil {
  34. fmt.Printf("failed to parse JWT token: %s\n", err)
  35. return
  36. }
  37. fmt.Println(token)
  38. }
  39. }

Example 3

上面使用的JWK是使用代码生成的,也可以加载本地文件(jwk.ReadFile)或通过JSU的方式从网络上拉取所需的JWK(jwk.Fetch)。

lestrrat-go的官方文档中给出了很多指导。

  1. {
  2. v, err := jwk.ReadFile(`private-key.pem`, jwk.WithPEM(true))
  3. if err != nil {
  4. // handle error
  5. }
  6. }
  7. {
  8. v, err := jwk.ReadFile(`public-key.pem`, jwk.WithPEM(true))
  9. if err != nil {
  10. // handle error
  11. }
  12. }
  1. srv := httptest.NewTLSServer(http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {
  2. w.WriteHeader(http.StatusOK)
  3. fmt.Fprintf(w, `{
  4. "keys": [
  5. {"kty":"EC",
  6. "crv":"P-256",
  7. "x":"MKBCTNIcKUSDii11ySs3526iDZ8AiTo7Tu6KPAqv7D4",
  8. "y":"4Etl6SRW2YiLUrN5vfvVHuhp7x8PxltmWWlbbM4IFyM",
  9. "use":"enc",
  10. "kid":"1"},
  11. {"kty":"RSA",
  12. "n": "0vx7agoebGcQSuuPiLJXZptN9nndrQmbXEps2aiAFbWhM78LhWx4cbbfAAtVT86zwu1RK7aPFFxuhDR1L6tSoc_BJECPebWKRXjBZCiFV4n3oknjhMstn64tZ_2W-5JsGY4Hc5n9yBXArwl93lqt7_RN5w6Cf0h4QyQ5v-65YGjQR0_FDW2QvzqY368QQMicAtaSqzs8KJZgnYb9c7d0zgdAZHzu6qMQvRL5hajrn1n91CbOpbISD08qNLyrdkt-bFTWhAI4vMQFh6WeZu0fM4lFd2NcRwr3XPksINHaQ-G_xBniIqbw0Ls1jF44-csFCur-kEgU8awapJzKnqDKgw",
  13. "e":"AQAB",
  14. "alg":"RS256",
  15. "kid":"2011-04-29"}
  16. ]
  17. }`)
  18. }))
  19. defer srv.Close()
  20. set, err := jwk.Fetch(
  21. context.Background(),
  22. srv.URL,
  23. // This is necessary because httptest.Server is using a custom certificate
  24. jwk.WithHTTPClient(srv.Client()),
  25. )
  26. if err != nil {
  27. fmt.Printf("failed to fetch JWKS: %s\n", err)
  28. return
  29. }

参考

原文链接:https://www.cnblogs.com/charlieroro/p/17141741.html

 友情链接:直通硅谷  点职佳  北美留学生论坛

本站QQ群:前端 618073944 | Java 606181507 | Python 626812652 | C/C++ 612253063 | 微信 634508462 | 苹果 692586424 | C#/.net 182808419 | PHP 305140648 | 运维 608723728

W3xue 的所有内容仅供测试,对任何法律问题及风险不承担任何责任。通过使用本站内容随之而来的风险与本站无关。
关于我们  |  意见建议  |  捐助我们  |  报错有奖  |  广告合作、友情链接(目前9元/月)请联系QQ:27243702 沸活量
皖ICP备17017327号-2 皖公网安备34020702000426号