c# - 验证 Google OpenID Connect JWT ID token-6ren

c# - 验证 Google OpenID Connect JWT ID token

转载作者：可可西里更新时间：2023-11-01 08:08:15

我正在尝试升级我的 MVC 网站以使用新的 OpenID Connect 标准。 OWIN 中间件似乎非常健壮，但不幸的是只支持“form_post”响应类型。这意味着 Google 不兼容，因为它会在“#”后返回 url 中的所有标记，因此它们永远不会到达服务器并且永远不会触发中间件。

我尝试自己触发中间件中的响应处理程序，但这似乎根本不起作用，所以我有一个简单的 javascript 文件来解析返回的声明并将它们发布到 Controller 操作进行处理。

问题是，即使我在服务器端获取它们，我也无法正确解析它们。我得到的错误看起来像这样:

IDX10500: Signature validation failed. Unable to resolve     
SecurityKeyIdentifier: 'SecurityKeyIdentifier
(
   IsReadOnly = False,
   Count = 1,
   Clause[0] = System.IdentityModel.Tokens.NamedKeySecurityKeyIdentifierClause
),
token: '{
    "alg":"RS256",
    "kid":"073a3204ec09d050f5fd26460d7ddaf4b4ec7561"
}.
{
    "iss":"accounts.google.com",
    "sub":"100330116539301590598",
    "azp":"1061880999501-b47blhmmeprkvhcsnqmhfc7t20gvlgfl.apps.googleusercontent.com",
    "nonce":"7c8c3656118e4273a397c7d58e108eb1",
    "email_verified":true,
    "aud":"1061880999501-b47blhmmeprkvhcsnqmhfc7t20gvlgfl.apps.googleusercontent.com",
    "iat":1429556543,"exp\":1429560143
    }'."
}

我的 token 验证代码遵循开发 IdentityServer 的好人概述的示例

    private async Task<IEnumerable<Claim>> ValidateIdentityTokenAsync(string idToken, string state)
    {
        // New Stuff
        var token = new JwtSecurityToken(idToken);
        var jwtHandler = new JwtSecurityTokenHandler();
        byte[][] certBytes = getGoogleCertBytes();

        for (int i = 0; i < certBytes.Length; i++)
        {
            var certificate = new X509Certificate2(certBytes[i]);
            var certToken = new X509SecurityToken(certificate);

            // Set up token validation
            var tokenValidationParameters = new TokenValidationParameters();
            tokenValidationParameters.ValidAudience = googleClientId;
            tokenValidationParameters.IssuerSigningToken = certToken;
            tokenValidationParameters.ValidIssuer = "accounts.google.com";

            try
            {
                // Validate
                SecurityToken jwt;
                var claimsPrincipal = jwtHandler.ValidateToken(idToken, tokenValidationParameters, out jwt);
                if (claimsPrincipal != null)
                {
                    // Valid
                    idTokenStatus = "Valid";
                }
            }
            catch (Exception e)
            {
                if (idTokenStatus != "Valid")
                {
                    // Invalid?

                }
            }
        }

        return token.Claims;
    }

    private byte[][] getGoogleCertBytes()
    {
        // The request will be made to the authentication server.
        WebRequest request = WebRequest.Create(
            "https://www.googleapis.com/oauth2/v1/certs"
        );

        StreamReader reader = new StreamReader(request.GetResponse().GetResponseStream());

        string responseFromServer = reader.ReadToEnd();

        String[] split = responseFromServer.Split(':');

        // There are two certificates returned from Google
        byte[][] certBytes = new byte[2][];
        int index = 0;
        UTF8Encoding utf8 = new UTF8Encoding();
        for (int i = 0; i < split.Length; i++)
        {
            if (split[i].IndexOf(beginCert) > 0)
            {
                int startSub = split[i].IndexOf(beginCert);
                int endSub = split[i].IndexOf(endCert) + endCert.Length;
                certBytes[index] = utf8.GetBytes(split[i].Substring(startSub, endSub).Replace("\\n", "\n"));
                index++;
            }
        }
        return certBytes;
    }

我知道签名验证对于 JWT 不是完全必要的，但我完全不知道如何关闭它。有什么想法吗？

最佳答案

我想我会发布我的稍微改进的版本，它使用 JSON.Net 解析 Google 的 X509 证书并根据“kid”( key ID)匹配要使用的 key 。这比尝试每个证书更有效，因为非对称加密通常非常昂贵。

还删除了过时的 WebClient 和手动字符串解析代码:

    static Lazy<Dictionary<string, X509Certificate2>> Certificates = new Lazy<Dictionary<string, X509Certificate2>>( FetchGoogleCertificates );
    static Dictionary<string, X509Certificate2> FetchGoogleCertificates()
    {
        using (var http = new HttpClient())
        {
            var json = http.GetStringAsync( "https://www.googleapis.com/oauth2/v1/certs" ).Result;

            var dictionary = JsonConvert.DeserializeObject<Dictionary<string, string>>( json );
            return dictionary.ToDictionary( x => x.Key, x => new X509Certificate2( Encoding.UTF8.GetBytes( x.Value ) ) );
        }
    }

    JwtSecurityToken ValidateIdentityToken( string idToken )
    {
        var token = new JwtSecurityToken( idToken );
        var jwtHandler = new JwtSecurityTokenHandler();

        var certificates = Certificates.Value;

        try
        {
            // Set up token validation
            var tokenValidationParameters = new TokenValidationParameters();
            tokenValidationParameters.ValidAudience = _clientId;
            tokenValidationParameters.ValidIssuer = "accounts.google.com";
            tokenValidationParameters.IssuerSigningTokens = certificates.Values.Select( x => new X509SecurityToken( x ) );
            tokenValidationParameters.IssuerSigningKeys = certificates.Values.Select( x => new X509SecurityKey( x ) );
            tokenValidationParameters.IssuerSigningKeyResolver = ( s, securityToken, identifier, parameters ) =>
            {
                return identifier.Select( x =>
                {
                    if (!certificates.ContainsKey( x.Id ))
                        return null;

                    return new X509SecurityKey( certificates[ x.Id ] );
                } ).First( x => x != null );
            };

            SecurityToken jwt;
            var claimsPrincipal = jwtHandler.ValidateToken( idToken, tokenValidationParameters, out jwt );
            return (JwtSecurityToken)jwt;
        }
        catch (Exception ex)
        {
            _trace.Error( typeof( GoogleOAuth2OpenIdHybridClient ).Name, ex );
            return null;
        }
    }

关于c# - 验证 Google OpenID Connect JWT ID token ，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/29757140/

文章推荐： mysql - 不同DBMS之间的可扩展性比较

文章推荐： android - 手指离开按钮时的事件

文章推荐： sql - 这个查找(关联)表是否正确？ (多对多关系)

r - summary.connection(connection) : invalid connection 中的错误
使用 caret::train() 运行逻辑回归模型时出现问题。LR = caret::train(Satisfaction ~., data= log_train, method = "glm",
docker nginx代理nginx connect()失败(111 : Connection refused) while connecting to upstream
我正在尝试将nginx容器作为我所有网站和Web服务的主要入口点。我设法将portainer作为容器运行，并且可以从互联网上访问它。现在，我正在尝试访问由另一个Nginx容器托管的静态网站，但这样做失
c# - TcpClient.Connect 说 "A connection attempt failed because the connected party..."
我有一个在 Windows XP SP3 x86 上运行的 Visual Studio 2008 C# .NET 3.5 应用程序。在我的应用程序中，我有一个事件处理程序 OnSendTask 可以同
java.net.ConnectException : Connection refused: connect for HTTPS connections 异常
我在 Eclipse 中创建了作为独立程序执行的此类，它可以毫无问题地连接所有 http URL(例如:http://stackoverflow.com)，但是当我尝试连接到 https(例如 htt
python - Bottle + nginx : connect() failed (111: Connection refused) while connecting to upstream
我在我的 nginx 错误日志中收到大量以下错误: connect() failed (111: Connection refused) while connecting to upstream 我的
java - Log4j2 套接字附加器 "connect java.net.ConnectException: Connection refused: connect"
我正在尝试将新的 log4j2 与 Socket Appender 一起使用，但我有点不走运。这是我的 XML 配置文件:
java.net.ConnectException : Connection timed out: connect error connecting to remote database
我目前正在尝试寻找 Android 应用程序后端的替代方案。目前，我使用 php servlet 来查询 Mysql 数据库。数据库(Mysql)托管在我大学的计算机上，因此我无法更改任何配置，因为我
connection - sqlalchemy中MapperExtension的 `connection`参数是什么？
类MapperExtension有一些方法，before_insert, before_update, ...都有一个参数connection. def before_insert(self, map
connection - IBM Connection 更改文档所有者
嗨，我正在尝试更改位于连接库 (v 5.5) 中的文档的文档所有者，我仍在等待 IBM 的回复，但对我来说可能需要太长时间，这就是我尝试的原因逆向工程。我尝试使用标准编辑器 POST 请求将编辑器更
nginx - uWSGI nginx 错误 : connect() failed (111: Connection refused) while connecting to upstream
我在 nginx( http://52.xx.xx.xx/ )上访问我的 IP 时遇到 502 网关错误，日志只是这样说: 2015/09/18 13:03:37 [error] 32636#0: *
image-processing - 4-connected vs 8-connected in Connected Component Labeling。一个相对于另一个的优点是什么？
我要实现 Connected-Component Labeling但我不确定我应该以 4-connected 还是 8-connected 的方式来做。我已经阅读了大约 3 种 Material ，但
python - jython脚本: How to modify the maximum connection of connection pool under Websphere MQ Connection factories
我在Resources ->JMS ->Connection Factories下有两个连接工厂。 1) 连接工厂 2)集成连接工厂我想修改两个连接工厂下连接池的最大连接数。资源 ->JMS ->连
python - mongoengine.connection.ConnectionError : Cannot connect to database default : [Errno 111] Connection refused
我在将 mongoengine 合并到我的 django 应用程序时遇到问题。以下是我收到的错误: Traceback (most recent call last): File "/home/d
macos - 异常 : connect: does not exist (Connection refused) when trying to connect to TCP socket in Haskell
上下文我正在关注 tutorial on writing a TCP server last week in Real World Haskell .一切顺利，我的最终版本可以正常工作，并且能够在
django - Nginx+Gunicorn+Django1.5 - connect() 失败 (111 : Connection refused) while connecting to upstream
我在访问我的域时遇到了这个问题:我看到了我的默认 http500 错误 django 模板正在显示。我有 gunicorn 设置: command = '/usr/local/bin/gunicor
java - org.dom4j.DocumentException : Connection timed out: connect and Nested exception: Connection Nested exception
我更换了电脑，并重新安装了所有版本:tomcat 8 和 6、netbeans 8、jdk 1.7、hibernate 4.3.4，但是当我运行 Web 应用程序时，出现此错误。过去使用我的旧电脑时，
django - cookie-cutter django nginx connect() 失败 (111 : Connection refused) while connecting to upstream,
您好，我是这个项目的新手，我在 CentOS7 ec2 实例上托管它时遇到问题。当我访问我的域时出现此错误: 2017/02/17 05:53:35 [error] 27#27: *20 connec
node.js - nginx 和 Node : connect() failed (111: Connection refused) while connecting to upstream
在开始之前，我已经查看了所有我能找到的类似问题，但没有找到解决我的问题的方法。我正在运行 2 个 docker 容器，1 个用于 nginx，1 个用于 nodejs api。我正在使用 nginx
ubuntu - initctl : Unable to connect to Upstart: Failed to connect to socket/com/ubuntu/upstart: Connection refused
使用 debian 包将 kaa -iot 平台配置为单节点时。我收到以下错误。 himanshu@himpc:~/kaa/deb$ sudo dpkg -i kaa-node-0.10.0.deb
app-store-connect - 无法登录 iTunes Connect : "Your Apple ID isn' t enabled for iTunes Connect"
我是我公司开发团队的成员，担任管理员角色。我可以通过 https://developer.apple.com/ 访问团队的成员(member)中心但是，当我尝试在 https://itunescon

可可西里

个人简介

我是一名优秀的程序员,十分优秀！

作者热门文章

滴滴打车优惠券免费领取

全站热门文章

首页

博学

6Ren·AI

商城

c# - 验证 Google OpenID Connect JWT ID token