手动计算 JWT 签名永远不会输出真正的签名
Manually calculating JWT signature never outputs the real signature
我已经阅读了很多关于 Whosebug 和 jwt 文档的问题。
据我了解,现在我应该如何计算令牌:
header =
{
"alg": "HS256",
"typ": "JWT"
}
payload =
{
"sub": "1234567890",
"name": "JohnDoe",
"iat": 1516239022
}
secret = "test123"
- 从 header 和 payload 中删除不必要的空格和分隔线,然后将两者编码为 base64url。
base64urlEncode(header)
// output: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9
base64urlEncode(payload)
// output: eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG5Eb2UiLCJpYXQiOjE1MTYyMzkwMjJ9
与 jwt.io 相同的输出,完美。
- 使用 "test123" 作为秘密计算 sha256 hmac。
sha256_hmac("eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG5Eb2UiLCJpYXQiOjE1MTYyMzkwMjJ9", "test123)
// output: 3b59324118bcd59a5435194120c2cfcb7cf295f25a79149b79145696329ffb95
- 将散列转换为字符串,然后对其进行 base64url 编码。
我使用 hex to string converter for this part, then I encode it using base64urlEncode 并得到以下输出:
O1kyQRjCvMOVwppUNRlBIMOCw4_Di3zDssKVw7JaeRTCm3kUVsKWMsKfw7vClQ
来自jwt.io的输出
O1kyQRi81ZpUNRlBIMLPy3zylfJaeRSbeRRWljKf-5U
但是如果我转到此页面 From Hex, to Base64 我会得到正确的输出:
O1kyQRi81ZpUNRlBIMLPy3zylfJaeRSbeRRWljKf-5U
那我做错了什么?为什么将十六进制转换为字符串然后对其进行编码会输出不同的结果?
万一在线十六进制到字符串的转换错误,我如何在不使用任何库的情况下在 C++ 上将此十六进制转换为字符串(这样我就可以对其进行编码)。如果我将每个字节(2 个字符,因为十六进制 = 4 位)转换为 ASCII 字符然后编码,我是否正确?
提前致谢。
您的 hmac 步骤是正确的,确实具有正确的输出字节(如评论所述)。您遇到的转换问题是由临时字符串中的 non-display 个字符引起的(未正确复制原始字节从第一个网页粘贴到第二个网页)。
要重现每个阶段的准确输出,您可以使用下面的这些命令。
在C++方面,你应该尝试对原始字节进行操作,而不是对十六进制字符串进行操作。获取原始字节并通过 base64 URL-safe 编码器 运行 它们。或者,如下例所示,获取原始字节,运行 通过普通的 base64 编码器,然后将生成的 base64 字符串修复为 URL 安全。
- 构建header
jwt_header=$(echo -n '{"alg":"HS256","typ":"JWT"}' | base64 | sed s/\+/-/g | sed 's/\//_/g' | sed -E s/=+$//)
# ans: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9
- 构建有效负载
payload=$(echo -n '{"sub":"1234567890","name":"JohnDoe","iat":1516239022}' | base64 | sed s/\+/-/g |sed 's/\//_/g' | sed -E s/=+$//)
# ans: eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG5Eb2UiLCJpYXQiOjE1MTYyMzkwMjJ9
- 原始密码
secret="test123"
- 将秘密转换为十六进制(不是 base64)
hexsecret=$(echo -n "$secret" | xxd -p | tr -d '\n')
# ans: 74657374313233
- 执行 hmac,并捕获原始字节(注意,这是不可打印的字符串)
hmac_signature_rawbytes=$(echo -n "${jwt_header}.${payload}" | openssl dgst -sha256 -mac HMAC -macopt hexkey:$hexsecret -binary)
- 将原始字节转储为十六进制,仅供说明(匹配 OP 输出)
echo -n ${hmac_signature_rawbytes} | xxd -p | tr -d '\n'
#ans: 3b59324118bcd59a5435194120c2cfcb7cf295f25a79149b79145696329ffb95
- 对于 JWT 签名,将原始字节转换为 base64uri 编码
hmac_signature=$(echo -n ${hmac_signature_rawbytes} | base64 | sed s/\+/-/g | sed 's/\//_/g' | sed -E s/=+$//)
#ans: O1kyQRi81ZpUNRlBIMLPy3zylfJaeRSbeRRWljKf-5U
- 创建完整令牌
jwt="${jwt_header}.${payload}.${hmac_signature}"
# ans: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG5Eb2UiLCJpYXQiOjE1MTYyMzkwMjJ9.O1kyQRi81ZpUNRlBIMLPy3zylfJaeRSbeRRWljKf-5U
我已经阅读了很多关于 Whosebug 和 jwt 文档的问题。 据我了解,现在我应该如何计算令牌:
header =
{
"alg": "HS256",
"typ": "JWT"
}
payload =
{
"sub": "1234567890",
"name": "JohnDoe",
"iat": 1516239022
}
secret = "test123"
- 从 header 和 payload 中删除不必要的空格和分隔线,然后将两者编码为 base64url。
base64urlEncode(header)
// output: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9
base64urlEncode(payload)
// output: eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG5Eb2UiLCJpYXQiOjE1MTYyMzkwMjJ9
与 jwt.io 相同的输出,完美。
- 使用 "test123" 作为秘密计算 sha256 hmac。
sha256_hmac("eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG5Eb2UiLCJpYXQiOjE1MTYyMzkwMjJ9", "test123)
// output: 3b59324118bcd59a5435194120c2cfcb7cf295f25a79149b79145696329ffb95
- 将散列转换为字符串,然后对其进行 base64url 编码。
我使用 hex to string converter for this part, then I encode it using base64urlEncode 并得到以下输出:
O1kyQRjCvMOVwppUNRlBIMOCw4_Di3zDssKVw7JaeRTCm3kUVsKWMsKfw7vClQ
来自jwt.io的输出
O1kyQRi81ZpUNRlBIMLPy3zylfJaeRSbeRRWljKf-5U
但是如果我转到此页面 From Hex, to Base64 我会得到正确的输出:
O1kyQRi81ZpUNRlBIMLPy3zylfJaeRSbeRRWljKf-5U
那我做错了什么?为什么将十六进制转换为字符串然后对其进行编码会输出不同的结果?
万一在线十六进制到字符串的转换错误,我如何在不使用任何库的情况下在 C++ 上将此十六进制转换为字符串(这样我就可以对其进行编码)。如果我将每个字节(2 个字符,因为十六进制 = 4 位)转换为 ASCII 字符然后编码,我是否正确?
提前致谢。
您的 hmac 步骤是正确的,确实具有正确的输出字节(如评论所述)。您遇到的转换问题是由临时字符串中的 non-display 个字符引起的(未正确复制原始字节从第一个网页粘贴到第二个网页)。
要重现每个阶段的准确输出,您可以使用下面的这些命令。
在C++方面,你应该尝试对原始字节进行操作,而不是对十六进制字符串进行操作。获取原始字节并通过 base64 URL-safe 编码器 运行 它们。或者,如下例所示,获取原始字节,运行 通过普通的 base64 编码器,然后将生成的 base64 字符串修复为 URL 安全。
- 构建header
jwt_header=$(echo -n '{"alg":"HS256","typ":"JWT"}' | base64 | sed s/\+/-/g | sed 's/\//_/g' | sed -E s/=+$//)
# ans: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9
- 构建有效负载
payload=$(echo -n '{"sub":"1234567890","name":"JohnDoe","iat":1516239022}' | base64 | sed s/\+/-/g |sed 's/\//_/g' | sed -E s/=+$//)
# ans: eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG5Eb2UiLCJpYXQiOjE1MTYyMzkwMjJ9
- 原始密码
secret="test123"
- 将秘密转换为十六进制(不是 base64)
hexsecret=$(echo -n "$secret" | xxd -p | tr -d '\n')
# ans: 74657374313233
- 执行 hmac,并捕获原始字节(注意,这是不可打印的字符串)
hmac_signature_rawbytes=$(echo -n "${jwt_header}.${payload}" | openssl dgst -sha256 -mac HMAC -macopt hexkey:$hexsecret -binary)
- 将原始字节转储为十六进制,仅供说明(匹配 OP 输出)
echo -n ${hmac_signature_rawbytes} | xxd -p | tr -d '\n'
#ans: 3b59324118bcd59a5435194120c2cfcb7cf295f25a79149b79145696329ffb95
- 对于 JWT 签名,将原始字节转换为 base64uri 编码
hmac_signature=$(echo -n ${hmac_signature_rawbytes} | base64 | sed s/\+/-/g | sed 's/\//_/g' | sed -E s/=+$//)
#ans: O1kyQRi81ZpUNRlBIMLPy3zylfJaeRSbeRRWljKf-5U
- 创建完整令牌
jwt="${jwt_header}.${payload}.${hmac_signature}"
# ans: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG5Eb2UiLCJpYXQiOjE1MTYyMzkwMjJ9.O1kyQRi81ZpUNRlBIMLPy3zylfJaeRSbeRRWljKf-5U