如何在 CryptoJS 中使用私钥 (pem) 签署 JWT?
How to sign a JWT with a private key (pem) in CryptoJS?
我正在尝试使用以下代码在邮递员中创建签名的 JWT
function base64url(source) {
// Encode in classical base64
encodedSource = CryptoJS.enc.Base64.stringify(source);
// Remove padding equal characters
encodedSource = encodedSource.replace(/=+$/, '');
// Replace characters according to base64url specifications
encodedSource = encodedSource.replace(/\+/g, '-');
encodedSource = encodedSource.replace(/\//g, '_');
return encodedSource;
}
function addIAT(request) {
var iat = Math.floor(Date.now() / 1000) + 257;
data.iat = iat;
return data;
}
var header = {
"typ": "JWT",
"alg": "HS256"
};
var data = {
"fname": "name",
"lname": "name",
"email": "email@domain.com",
"password": "abc123$"
};
data = addIAT(data);
var secret = 'myjwtsecret';
// encode header
var stringifiedHeader = CryptoJS.enc.Utf8.parse(JSON.stringify(header));
var encodedHeader = base64url(stringifiedHeader);
// encode data
var stringifiedData = CryptoJS.enc.Utf8.parse(JSON.stringify(data));
var encodedData = base64url(stringifiedData);
// build token
var token = encodedHeader + "." + encodedData;
// sign token
var signature = CryptoJS.HmacSHA256(token, secret);
signature = base64url(signature);
var signedToken = token + "." + signature;
postman.setEnvironmentVariable("payload", signedToken);
代码取自 https://gist.github.com/corbanb/db03150abbe899285d6a86cc480f674d .
我一直在尝试输入 PEM 作为密码,但没有成功。也找不到任何采用 PEM 的 HmacSHA256 重载。
如何做到?
提到邮递员改变了这一点。我为您提供了一个解决方案,但无论如何都不是一个干净的方法。
您需要创建一个请求,每次打开邮递员时都需要执行该请求。走如下:
此请求的目的是旁加载 jsrsasign-js 并将其存储在全局 Postman 变量中。
完成后,您就可以在其他地方使用此内容。对于您需要 RSA256 JWT 签名的每个请求,以下预请求脚本将使用令牌更新变量(此处为 token):
var navigator = {};
var window = {};
eval(pm.globals.get("jsrsasign-js"));
function addIAT(request) {
var iat = Math.floor(Date.now() / 1000) + 257;
data.iat = iat;
return data;
}
var header = {"alg" : "RS256","typ" : "JWT"};
var data = {
"fname": "name",
"lname": "name",
"email": "email@domain.com",
"password": "abc123$"
};
data = addIAT(data);
var privateKey = "-----BEGIN RSA PRIVATE KEY----- \
MIIBOQIBAAJAcrqH0L91/j8sglOeroGyuKr1ABvTkZj0ATLBcvsA91/C7fipAsOn\
RqRPZr4Ja+MCx0Qvdc6JKXa5tSb51bNwxwIDAQABAkBPzI5LE+DuRuKeg6sLlgrJ\
h5+Bw9kUnF6btsH3R78UUANOk0gGlu9yUkYKUkT0SC9c6HDEKpSqILAUsXdx6SOB\
AiEA1FbR++FJ56CEw1BiP7l1drM9Mr1UVvUp8W71IsoZb1MCIQCKUafDLg+vPj1s\
HiEdrPZ3pvzvteXLSuniH15AKHEuPQIhAIsgB519UysMpXBDbtxJ64jGj8Z6/pOr\
NrwV80/EEz45AiBlgTLZ2w2LjuNIWnv26R0eBZ+M0jHGlD06wcZK0uLsCQIgT1kC\
uNcDTERjwEbFKJpXC8zTLSPcaEOlbiriIKMnpNw=\
-----END RSA PRIVATE KEY-----";
var sHeader = JSON.stringify(header);
var sPayload = JSON.stringify(data);
var sJWT = KJUR.jws.JWS.sign(header.alg, sHeader, sPayload, privateKey);
pm.variables.set('token', sJWT);
顺序:
- 我定义了 mock
window 和 navigator 对象,因为 jsrsasign-js 需要它们。
- 然后我
eval() 我们之前获取的内容,以便对所有内容进行再水化
- 您的其余代码是
jsrsasign-js 的简单用法。你的令牌信息在那里,我在那里定义了一个私钥。您可以更改它或使用环境变量;它只是用于演示目的。然后我简单地使用 rehydrated 库对其进行签名,并将变量设置为已签名 JWT 的值。
A PEM,如您所指,是一种指定 public and/or 私钥组合的容器格式。您正在使用它来使用 HMAC-SHA256 进行签名,它在 shared 秘密上运行。这显然是行不通的(除非你采用穷人的方法并使用你的 public 密钥作为共享密钥)。
幸运的是,RFC 中还定义了其他签名方法。例如,有一种使用 RSA 进行签名的方法,以及一种将 public 密钥定义为 JSON web key (JWK) 的非常方便的方法。我们将同时利用两者。
我已经生成了一对用于测试的密钥,它们被命名为 out 和 out.pub。生成工具是 genrsa(因此,它们是一个 RSA 密钥对)。
为了签名,我们将不得不改变一些事情:
- 如上所述,我们正在将算法从
HS256 更改为 RS256
- 我们将需要一个新的库来自行签名,因为
crypto-js 不支持非对称密钥加密。我们将回退到本机 crypto 模块,尽管有纯 JS 替代方案
代码:
var CryptoJS = require("crypto-js");
var keyFileContent = require("fs").readFileSync("./out");
var pubkey = require("fs").readFileSync("./out.pub");
var base64url = require("base64url");
var nJwt = require("njwt");
function addIAT(request) {
var iat = Math.floor(Date.now() / 1000) + 257;
data.iat = iat;
return data;
}
var header = {
"typ": "JWT",
"alg": "RS256"
};
var data = {
"fname": "name",
"lname": "name",
"email": "email@domain.com",
"password": "abc123$"
};
data = addIAT(data);
// encode header
var stringifiedHeader = JSON.stringify(header);
var encodedHeader = base64url(stringifiedHeader);
// encode data
var stringifiedData = JSON.stringify(data);
var encodedData = base64url(stringifiedData);
// build token
var token = encodedHeader + "." + encodedData;
// sign token
var signatureAlg = require("crypto").createSign("sha256");
signatureAlg.update(token);
var signature = signatureAlg.sign(keyFileContent);
signature = base64url(signature);
var signedToken = token + "." + signature;
console.log(signedToken);
// Verify
var verifier = new nJwt.Verifier();
verifier.setSigningAlgorithm('RS256');
verifier.setSigningKey(pubkey);
verifier.verify(signedToken, function() {
console.log(arguments);
});
就是这样!从字面上看就这么简单,尽管我不建议从头开始重写 crypto 中的 sign() 函数。将它留给经过社区彻底检查的图书馆,加密是非常严肃的事情。
我正在尝试使用以下代码在邮递员中创建签名的 JWT
function base64url(source) {
// Encode in classical base64
encodedSource = CryptoJS.enc.Base64.stringify(source);
// Remove padding equal characters
encodedSource = encodedSource.replace(/=+$/, '');
// Replace characters according to base64url specifications
encodedSource = encodedSource.replace(/\+/g, '-');
encodedSource = encodedSource.replace(/\//g, '_');
return encodedSource;
}
function addIAT(request) {
var iat = Math.floor(Date.now() / 1000) + 257;
data.iat = iat;
return data;
}
var header = {
"typ": "JWT",
"alg": "HS256"
};
var data = {
"fname": "name",
"lname": "name",
"email": "email@domain.com",
"password": "abc123$"
};
data = addIAT(data);
var secret = 'myjwtsecret';
// encode header
var stringifiedHeader = CryptoJS.enc.Utf8.parse(JSON.stringify(header));
var encodedHeader = base64url(stringifiedHeader);
// encode data
var stringifiedData = CryptoJS.enc.Utf8.parse(JSON.stringify(data));
var encodedData = base64url(stringifiedData);
// build token
var token = encodedHeader + "." + encodedData;
// sign token
var signature = CryptoJS.HmacSHA256(token, secret);
signature = base64url(signature);
var signedToken = token + "." + signature;
postman.setEnvironmentVariable("payload", signedToken);
代码取自 https://gist.github.com/corbanb/db03150abbe899285d6a86cc480f674d .
我一直在尝试输入 PEM 作为密码,但没有成功。也找不到任何采用 PEM 的 HmacSHA256 重载。
如何做到?
提到邮递员改变了这一点。我为您提供了一个解决方案,但无论如何都不是一个干净的方法。
您需要创建一个请求,每次打开邮递员时都需要执行该请求。走如下:
此请求的目的是旁加载 jsrsasign-js 并将其存储在全局 Postman 变量中。
完成后,您就可以在其他地方使用此内容。对于您需要 RSA256 JWT 签名的每个请求,以下预请求脚本将使用令牌更新变量(此处为 token):
var navigator = {};
var window = {};
eval(pm.globals.get("jsrsasign-js"));
function addIAT(request) {
var iat = Math.floor(Date.now() / 1000) + 257;
data.iat = iat;
return data;
}
var header = {"alg" : "RS256","typ" : "JWT"};
var data = {
"fname": "name",
"lname": "name",
"email": "email@domain.com",
"password": "abc123$"
};
data = addIAT(data);
var privateKey = "-----BEGIN RSA PRIVATE KEY----- \
MIIBOQIBAAJAcrqH0L91/j8sglOeroGyuKr1ABvTkZj0ATLBcvsA91/C7fipAsOn\
RqRPZr4Ja+MCx0Qvdc6JKXa5tSb51bNwxwIDAQABAkBPzI5LE+DuRuKeg6sLlgrJ\
h5+Bw9kUnF6btsH3R78UUANOk0gGlu9yUkYKUkT0SC9c6HDEKpSqILAUsXdx6SOB\
AiEA1FbR++FJ56CEw1BiP7l1drM9Mr1UVvUp8W71IsoZb1MCIQCKUafDLg+vPj1s\
HiEdrPZ3pvzvteXLSuniH15AKHEuPQIhAIsgB519UysMpXBDbtxJ64jGj8Z6/pOr\
NrwV80/EEz45AiBlgTLZ2w2LjuNIWnv26R0eBZ+M0jHGlD06wcZK0uLsCQIgT1kC\
uNcDTERjwEbFKJpXC8zTLSPcaEOlbiriIKMnpNw=\
-----END RSA PRIVATE KEY-----";
var sHeader = JSON.stringify(header);
var sPayload = JSON.stringify(data);
var sJWT = KJUR.jws.JWS.sign(header.alg, sHeader, sPayload, privateKey);
pm.variables.set('token', sJWT);
顺序:
- 我定义了 mock
window和navigator对象,因为jsrsasign-js需要它们。 - 然后我
eval()我们之前获取的内容,以便对所有内容进行再水化 - 您的其余代码是
jsrsasign-js的简单用法。你的令牌信息在那里,我在那里定义了一个私钥。您可以更改它或使用环境变量;它只是用于演示目的。然后我简单地使用 rehydrated 库对其进行签名,并将变量设置为已签名 JWT 的值。
A PEM,如您所指,是一种指定 public and/or 私钥组合的容器格式。您正在使用它来使用 HMAC-SHA256 进行签名,它在 shared 秘密上运行。这显然是行不通的(除非你采用穷人的方法并使用你的 public 密钥作为共享密钥)。
幸运的是,RFC 中还定义了其他签名方法。例如,有一种使用 RSA 进行签名的方法,以及一种将 public 密钥定义为 JSON web key (JWK) 的非常方便的方法。我们将同时利用两者。
我已经生成了一对用于测试的密钥,它们被命名为 out 和 out.pub。生成工具是 genrsa(因此,它们是一个 RSA 密钥对)。
为了签名,我们将不得不改变一些事情:
- 如上所述,我们正在将算法从
HS256更改为RS256 - 我们将需要一个新的库来自行签名,因为
crypto-js不支持非对称密钥加密。我们将回退到本机crypto模块,尽管有纯 JS 替代方案
代码:
var CryptoJS = require("crypto-js");
var keyFileContent = require("fs").readFileSync("./out");
var pubkey = require("fs").readFileSync("./out.pub");
var base64url = require("base64url");
var nJwt = require("njwt");
function addIAT(request) {
var iat = Math.floor(Date.now() / 1000) + 257;
data.iat = iat;
return data;
}
var header = {
"typ": "JWT",
"alg": "RS256"
};
var data = {
"fname": "name",
"lname": "name",
"email": "email@domain.com",
"password": "abc123$"
};
data = addIAT(data);
// encode header
var stringifiedHeader = JSON.stringify(header);
var encodedHeader = base64url(stringifiedHeader);
// encode data
var stringifiedData = JSON.stringify(data);
var encodedData = base64url(stringifiedData);
// build token
var token = encodedHeader + "." + encodedData;
// sign token
var signatureAlg = require("crypto").createSign("sha256");
signatureAlg.update(token);
var signature = signatureAlg.sign(keyFileContent);
signature = base64url(signature);
var signedToken = token + "." + signature;
console.log(signedToken);
// Verify
var verifier = new nJwt.Verifier();
verifier.setSigningAlgorithm('RS256');
verifier.setSigningKey(pubkey);
verifier.verify(signedToken, function() {
console.log(arguments);
});
就是这样!从字面上看就这么简单,尽管我不建议从头开始重写 crypto 中的 sign() 函数。将它留给经过社区彻底检查的图书馆,加密是非常严肃的事情。