尝试使用 Google 驱动器 API 的错误 JWT 签名
Bad JWT signature trying to use the Google Drive API
我看过有关使用 Google 驱动器在 PowerShell 中使用个人 OAuth2 令牌操作文件的文章,但没有域范围的权限。
据我了解,工作流程是这样的:
- 创建头部,base64编码
- 创建声明,base64编码
- 合并header和claim,然后用RSA256和Google
提供的私钥签名
我在执行第 3 步时遇到问题。请查看以下代码:
$firstdate = Get-Date -Year 1970 -Month 1 -Day 1 -Hour 0 -Minute 0 -Second 0 -Millisecond 0
$endtime = (New-TimeSpan -Start $firstdate -End (Get-Date).AddMinutes(30).ToUniversalTime()).TotalSeconds
$issuetime = (New-TimeSpan -Start $firstdate -End (Get-Date).ToUniversalTime()).TotalSeconds
$jsonfile = Get-Content 'secret_file.json' | ConvertFrom-Json
$headerhash = [ordered]@{
'alg' = 'RS256'
'typ' = 'JWT'
}
$headerjson = $headerhash | ConvertTo-Json -Compress
$encodedheader = [System.Convert]::ToBase64String([System.Text.Encoding]::UTF8.GetBytes($headerjson))
$claimhash = [ordered]@{
'iss' = $jsonfile.client_email
'scope' = 'https://www.googleapis.com/auth/drive'
'aud' = 'https://www.googleapis.com/oauth2/v4/token'
'exp' = [math]::Round($endtime,0)
'iat' = [math]::Round($issuetime,0)
}
$claimjson = $claimhash | ConvertTo-Json -Compress
$encodedclaim = [System.Convert]::ToBase64String([System.Text.Encoding]::UTF8.GetBytes($claimjson))
#$sha = [System.Security.Cryptography.RSACryptoServiceProvider]::Create()
#$sha.Key = [System.Text.Encoding]::UTF8.Getbytes($jsonfile.private_key)
#$sha.FromXmlString($sha.ToXmlString($jsonfile.private_key))
#$signature = $sha.ComputeHash([System.Text.Encoding]::UTF8.GetBytes("$encodedheader.$encodedclaim"))
#$signature = $sha.SignData([System.Text.Encoding]::UTF8.GetBytes("$encodedheader.$encodedclaim"),[System.Security.Cryptography.CryptoConfig]::MapNameToOID('RSASSA-PKCS1-V1_5-SIGN'))
#$encodedsignature = [System.Convert]::ToBase64String($signature)
#$formatter = [System.Security.Cryptography.RSAPKCS1SignatureFormatter]::new($sha)
#$formatter.SetKey($sha)
#$formatter.CreateSignature([System.Text.Encoding]::UTF8.GetBytes("$encodedheader.$encodedclaim"))
$jws = "$encodedheader.$encodedclaim"
$encodedjws = [System.Text.Encoding]::UTF8.GetBytes($jws)
$rsa = [System.Security.Cryptography.RSACryptoServiceProvider]::Create()
# This is the key -- need to convert PEM to proper format
$rsa.FromXmlString($rsa.ToXmlString($jsonfile.private_key))
$sha256OID = [System.Security.Cryptography.CryptoConfig]::MapNameToOID("SHA256")
$signature = $rsa.SignData($encodedjws,$sha256OID)
$encodedsignature = [System.Convert]::ToBase64String($signature)
$jwt = "$encodedheader.$encodedclaim.$encodedsignature"
$requestUri = 'https://www.googleapis.com/oauth2/v4/token'
$method = 'POST'
$body = [ordered]@{
'grant_type' = 'urn:ietf:params:oauth:grant-type:jwt-bearer'
'assertion' = $jwt
}
Invoke-webrequest -Uri $requestUri -Method $method -Body $body -ContentType application/x-www-form-urlencoded
我收到的错误表明 JWT 签名错误。 Google 提供的密钥采用 PEM 格式,但我在将其转换为 Powershell 可以理解的内容时遇到问题。
我有一段时间遇到同样的问题,直到我遇到使用 OWIN 库来解决这个问题。
这是我的 Get-GSToken 函数的 link,它是我的 PSGSuite 模块的一部分。如果你想做你需要的事情,你可以把它拆开(该功能的目的是获取一个令牌),但是你还需要 nuget
文件夹才能让它工作(OWIN库包含在其中):
https://github.com/nferrell/PSGSuite/blob/master/Public/Get-GSToken.ps1
随时获取整个模块以获取示例!我已经将几乎所有 Google API 调用包装到 Powershell 函数中,所有调用都利用 Get-GSToken
首先在函数需要的范围内获取令牌。
需要注意的一点:这利用了服务帐户和 P12 密钥文件,而不是 clientsecrets.json 文件密钥类型。我不确定如何使用 JSON 文件使用纯 Powershell 构建工作 JWT,但 P12 + OWIN 库非常适合它。
我看过有关使用 Google 驱动器在 PowerShell 中使用个人 OAuth2 令牌操作文件的文章,但没有域范围的权限。
据我了解,工作流程是这样的:
- 创建头部,base64编码
- 创建声明,base64编码
- 合并header和claim,然后用RSA256和Google 提供的私钥签名
我在执行第 3 步时遇到问题。请查看以下代码:
$firstdate = Get-Date -Year 1970 -Month 1 -Day 1 -Hour 0 -Minute 0 -Second 0 -Millisecond 0
$endtime = (New-TimeSpan -Start $firstdate -End (Get-Date).AddMinutes(30).ToUniversalTime()).TotalSeconds
$issuetime = (New-TimeSpan -Start $firstdate -End (Get-Date).ToUniversalTime()).TotalSeconds
$jsonfile = Get-Content 'secret_file.json' | ConvertFrom-Json
$headerhash = [ordered]@{
'alg' = 'RS256'
'typ' = 'JWT'
}
$headerjson = $headerhash | ConvertTo-Json -Compress
$encodedheader = [System.Convert]::ToBase64String([System.Text.Encoding]::UTF8.GetBytes($headerjson))
$claimhash = [ordered]@{
'iss' = $jsonfile.client_email
'scope' = 'https://www.googleapis.com/auth/drive'
'aud' = 'https://www.googleapis.com/oauth2/v4/token'
'exp' = [math]::Round($endtime,0)
'iat' = [math]::Round($issuetime,0)
}
$claimjson = $claimhash | ConvertTo-Json -Compress
$encodedclaim = [System.Convert]::ToBase64String([System.Text.Encoding]::UTF8.GetBytes($claimjson))
#$sha = [System.Security.Cryptography.RSACryptoServiceProvider]::Create()
#$sha.Key = [System.Text.Encoding]::UTF8.Getbytes($jsonfile.private_key)
#$sha.FromXmlString($sha.ToXmlString($jsonfile.private_key))
#$signature = $sha.ComputeHash([System.Text.Encoding]::UTF8.GetBytes("$encodedheader.$encodedclaim"))
#$signature = $sha.SignData([System.Text.Encoding]::UTF8.GetBytes("$encodedheader.$encodedclaim"),[System.Security.Cryptography.CryptoConfig]::MapNameToOID('RSASSA-PKCS1-V1_5-SIGN'))
#$encodedsignature = [System.Convert]::ToBase64String($signature)
#$formatter = [System.Security.Cryptography.RSAPKCS1SignatureFormatter]::new($sha)
#$formatter.SetKey($sha)
#$formatter.CreateSignature([System.Text.Encoding]::UTF8.GetBytes("$encodedheader.$encodedclaim"))
$jws = "$encodedheader.$encodedclaim"
$encodedjws = [System.Text.Encoding]::UTF8.GetBytes($jws)
$rsa = [System.Security.Cryptography.RSACryptoServiceProvider]::Create()
# This is the key -- need to convert PEM to proper format
$rsa.FromXmlString($rsa.ToXmlString($jsonfile.private_key))
$sha256OID = [System.Security.Cryptography.CryptoConfig]::MapNameToOID("SHA256")
$signature = $rsa.SignData($encodedjws,$sha256OID)
$encodedsignature = [System.Convert]::ToBase64String($signature)
$jwt = "$encodedheader.$encodedclaim.$encodedsignature"
$requestUri = 'https://www.googleapis.com/oauth2/v4/token'
$method = 'POST'
$body = [ordered]@{
'grant_type' = 'urn:ietf:params:oauth:grant-type:jwt-bearer'
'assertion' = $jwt
}
Invoke-webrequest -Uri $requestUri -Method $method -Body $body -ContentType application/x-www-form-urlencoded
我收到的错误表明 JWT 签名错误。 Google 提供的密钥采用 PEM 格式,但我在将其转换为 Powershell 可以理解的内容时遇到问题。
我有一段时间遇到同样的问题,直到我遇到使用 OWIN 库来解决这个问题。
这是我的 Get-GSToken 函数的 link,它是我的 PSGSuite 模块的一部分。如果你想做你需要的事情,你可以把它拆开(该功能的目的是获取一个令牌),但是你还需要 nuget
文件夹才能让它工作(OWIN库包含在其中):
https://github.com/nferrell/PSGSuite/blob/master/Public/Get-GSToken.ps1
随时获取整个模块以获取示例!我已经将几乎所有 Google API 调用包装到 Powershell 函数中,所有调用都利用 Get-GSToken
首先在函数需要的范围内获取令牌。
需要注意的一点:这利用了服务帐户和 P12 密钥文件,而不是 clientsecrets.json 文件密钥类型。我不确定如何使用 JSON 文件使用纯 Powershell 构建工作 JWT,但 P12 + OWIN 库非常适合它。