- Java 双重比较
- java - 比较器与 Apache BeanComparator
- Objective-C 完成 block 导致额外的方法调用?
- database - RESTful URI 是否应该公开数据库主键?
编辑:我找到了答案。滚动到该问题的底部。
我正在使用 NodeJS 身份验证服务器,我想使用谷歌签名签署 JSON Web token (JWT)。
我使用的是 Google 云 key 管理服务 (KMS),我创建了一个 key 环和一个非对称签名 key 。
这是我获取签名的代码:
signatureObject = await client.asymmetricSign({ name, digest })
signature = signatureObject["0"].signature
我的 Google 签名对象如下所示:
我的问题:如何使用 Google 签名签署 JWT?
或者换句话说,我如何将 Google 签名连接到 JWT 的 (header.payload)?
JWT 应该看起来像这样:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ. (GoogleSignature)
我正在使用的代码:
签名:
async function sign(message, name) {
hashedMessage = crypto.createHash('sha256').update(message).digest('base64');
digest = { 'sha256': hashedMessage }
signatureObject = await client.asymmetricSign({ name, digest }).catch((err) => console.log(err))
signature = signatureObject["0"].signature
signJWT(signature)
}
创建 JWT:
function signJWT(signature) {
header = {
alg: "RS256",
typ: "JWT"
}
payload = {
sub: "1234567890",
name: "John Doe",
iat: 1516239022
}
JWT = base64url(JSON.stringify(header)) + "." +
base64url(JSON.stringify(payload)) + "." +
???signature??? ; // what goes here?
}
验证:
async function validateSignature(message, signature) {
// Get public key
publicKeyObject = await client.getPublicKey({ name }).catch((err) => console.log(err))
publicKey = publicKeyObject["0"].pem
//Verify signature
var verifier = crypto.createVerify('sha256');
verifier.update(message)
var ver = verifier.verify(publicKey, signature, 'base64')
// Returns either true for a valid signature, or false for not valid.
return ver
}
答案:
我可以像这样使用 toString() 方法:
signatureString = signature.toString('base64');
然后我可以使用
获取原始签名八位字节流var buffer = Buffer.from(theString, 'base64');
最佳答案
您没有在您的问题中发布您的代码,所以我不知道您是如何构建用于签名的 JWT。
[在代码添加到问题后编辑 1/18/2019]
您的代码正在反向执行签名。您正在创建签名并尝试将其附加到 JWT Headers + Payload。您想要取而代之的是获取 JWT header + 有效负载并对数据进行签名,然后将签名附加到 JWT 以创建 Signed-JWT。
使用您的源代码的伪代码:
body_b64 = base64url(JSON.stringify(header)) + "." + base64url(JSON.stringify(payload))
signature = sign(body_b64, name);
jwt = body_b64 + '.' + base64url(signature)
注意:我不确定signatureObject["0"].signature
返回的签名是什么数据格式。在转换为 base64 之前,您可能必须先转换它。
[结束编辑]
示例数据:
JWT header :
{
alg: RS256
kid: 0123456789abcdef62afcbbf01234567890abcdef
typ: JWT
}
JWT 负载:
{
"azp": "123456789012-gooddogsgotoheaven.apps.googleusercontent.com",
"aud": "123456789012-gooddogsgotoheaven.apps.googleusercontent.com",
"sub": "123456789012345678901",
"scope": "https://www.googleapis.com/auth/cloud-platform",
"exp": "1547806224",
"expires_in": "3596",
"email": "someone@example.com.com",
"email_verified": "true",
"access_type": "offline"
}
算法:
SHA256withRSA
创建签名 JWT (JWS):
第 1 步:获取 JWT header 并转换为 Base-64。我们称其为 hdr_b64。
第 2 步:获取 JWT 负载并转换为 Base-64。我们称其为 payload_b64。
第 3 步:用点 .
连接编码的 header 和有效负载:hdr_b64
+ '.' + payload_b64`。我们称它为 body_b64。
第 4 步:通常 JWS 使用私钥使用 SHA256withRSA 进行签名,通常称为“RS256”:
signature = sign(body_b64, RS256, private_key)
现在将签名转换为 Base-64。让我们称之为 signature_b64。
创建最终的 JWS:
jws = body_b64 + '.' + signature_b64。
建议:
您想使用 KMS 创建签名的 JWT 吗?我不会推荐这个。访问存储在 KMS 中的 key 是有成本的。 Signed-JWTs 使用私钥签名并使用公钥验证。你打算如何发布公钥?您在访问私钥和公钥时需要什么性能级别(您将多久进行一次签名和验证)?
当您在 Google Cloud Platform 中创建服务帐户时,系统会为您创建一个 key 对。此 key 对具有一个 ID,该 ID 带有 Internet 上可用的公钥,私钥存在于服务帐户 Json 凭据文件中。我会使用服务帐户来创建签名 JWT,而不是 KMS 中的 key 对。
用于创建和签名的 Python 示例代码:
def create_signed_jwt(pkey, pkey_id, email, scope):
'''
Create a Signed JWT from a service account Json credentials file
This Signed JWT will later be exchanged for an Access Token
'''
import jwt
# Google Endpoint for creating OAuth 2.0 Access Tokens from Signed-JWT
auth_url = "https://www.googleapis.com/oauth2/v4/token"
issued = int(time.time())
expires = issued + expires_in # expires_in is in seconds
# Note: this token expires and cannot be refreshed. The token must be recreated
# JWT Headers
headers = {
"kid": pkey_id, # This is the service account private key ID
"alg": "RS256",
"typ": "JWT" # Google uses SHA256withRSA
}
# JWT Payload
payload = {
"iss": email, # Issuer claim
"sub": email, # Issuer claim
"aud": auth_url, # Audience claim
"iat": issued, # Issued At claim
"exp": expires, # Expire time
"scope": scope # Permissions
}
# Encode the headers and payload and sign creating a Signed JWT (JWS)
sig = jwt.encode(payload, pkey, algorithm="RS256", headers=headers)
return sig
关于node.js - 使用 Google Cloud Key Management Service 签署 JSON Web Tokens,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/54250511/
我有一个 Cloud Run 服务,它通过 SQLAlchemy 访问 Cloud SQL 实例.但是,在 Cloud Run 的日志中,我看到 CloudSQL connection failed.
关闭。这个问题是opinion-based .它目前不接受答案。 想改善这个问题吗?更新问题,以便可以通过 editing this post 用事实和引文回答问题. 4年前关闭。 Improve t
在将 docker 容器镜像部署到 Cloud Run 时,我可以选择一个区域,这很好。 Cloud Run 将构建委托(delegate)给 Cloud Build,后者显然会创建两个存储桶来实现这
我正在尝试将 Cloud Functions 用作由 PubSub 触发的异步后台工作程序,并进行更长时间的工作(以分钟为单位)。完整代码在这里https://github.com/zdenulo/c
这是/etc/cloud/cloud.cfg的内容Ubuntu云16.04镜像: # The top level settings are used as module # and system co
如何从 Google Cloud Function 启动 Cloud Dataflow 作业?我想使用 Google Cloud Functions 作为启用跨服务组合的机制。 最佳答案 我已经包含了
我想使用 Cloud Shell 在我的第二代 Cloud Sql 实例上运行数据库迁移。 我找到了一个 example in the docs关于如何使用 gcloud 进行连接.但是当我运行命令时
我正在尝试使用 Google Cloud PubSub和我的 Google Cloud Dataproc群集,我收到如下身份验证范围错误: { "code" : 403, "errors" :
这是我的用例。 我已经有一个以私有(private)模式部署的 Cloud Run 服务。 (与云功能相同的问题) 我正在开发使用此 Cloud Run 的新服务。我在应用程序中使用默认凭据进行身份验
如何连接到 Cloud SQL 上的数据库,而无需在容器中添加我的凭据文件? 最佳答案 使用 UNIX 域套接字 (Java) 从云运行(完全托管)连接到云 SQL At this time Clou
我有一个google-cloud-ml作业,需要从gs存储桶加载numpy .npz文件。我遵循了this example上关于如何从gs加载.npy文件的操作,但是由于.npz文件已压缩,因此它对我
我想创建链接到另一个项目中的 Cloud Source Repository 的 Cloud Build 触发器。但是当我在应该选择存储库的步骤中时,列表是空的。我尝试了不同的许可,但没有运气。谁能告
向 Twilio 发送 SMS 时,Twilio 会向指定的 URL 发送多个请求,以通过 Webhook 提供该 SMS 传送的状态。我想让这个回调异步,所以我开发了一个 Cloud Functio
我需要更改我的项目 ID,因为要验证的 Firebase 身份验证链接在链接上显示了项目 ID,并且由于品牌 reshape ,项目名称已更改。根据我发现的信息,更改项目 ID 似乎不太可能。我正在考
用于部署我的 Angular 应用程序的 CI/CD 管道已关闭,但我看到 Google Cloud Run 在容器镜像更新后没有部署新修订版。 我已将 Cloud Build 设置为在 GitHub
报价https://cloud.google.com/load-balancing/docs/https/setting-up-https-serverless#enabling While Goog
Cloud Spanner 提供了两种不同的 API。 Cloud Spanner 读取与 Cloud Spanner SQL API 之间有什么区别? 最佳答案 在幕后,它们都使用相同的执行机制,因
我是 GCP 堆栈的新手,所以我对用于存储数据的 GCP 技术数量感到非常困惑: https://cloud.google.com/products/storage 虽然上面的文章中没有提到googl
我发现 Google Cloud Functions 的网络出站费用令人惊讶,我正在尝试了解发生这种情况的原因以及如何避免这种情况。 Stackdriver 监控表明有问题的函数是我的 ingest
我使用 Prisma使用 Cloud Run 和 Cloud SQL。在向 prisma.schema 提供 DATABASE_URL 后,它会在运行时抛出一个错误。 Can't reach data
我是一名优秀的程序员,十分优秀!