jwt - 手动计算 JWT 签名永远不会输出真正的签名

Question

我已经阅读了很多关于 stackOverflow 和 jwt 文档的问题。据我了解，现在我应该如何计算 token :

header =
{
  "alg": "HS256",
  "typ": "JWT"
}

payload =
{
  "sub": "1234567890",
  "name": "JohnDoe",
  "iat": 1516239022
}
secret = "test123"

1. 从 header 和有效负载中删除不必要的空格和换行符，然后将两者编码为 base64url。

base64urlEncode(header)
// output: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9
base64urlEncode(payload)
// output: eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG5Eb2UiLCJpYXQiOjE1MTYyMzkwMjJ9

与 jwt.io 上的输出相同，完美。

1. 使用“test123”作为 secret 计算 sha256 hmac。

sha256_hmac("eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG5Eb2UiLCJpYXQiOjE1MTYyMzkwMjJ9", "test123)
// output: 3b59324118bcd59a5435194120c2cfcb7cf295f25a79149b79145696329ffb95

1. 将哈希值转换为字符串，然后进行 base64url 编码。

我在这部分使用 hex to string converter，然后使用 base64urlEncode 对其进行编码，并得到以下输出:O1kyQRjCvMOVwppUNRlBIMOCw4_Di3zDssKVw7JaeRTCm3kUVsKWMsKfw7vClQ

来自 jwt.io 的输出O1kyQRi81ZpUNRlBIMLPy3zylfJaeRSbeRRWljKf-5U

但如果我转到此页面 From Hex, to Base64，我会得到正确的输出:O1kyQRi81ZpUNRlBIMLPy3zylfJaeRSbeRRWljKf-5U

那我做错了什么？为什么将十六进制转换为字符串然后对其进行编码会输出不同的结果？

如果在线十六进制到字符串的转换错误，我如何在不使用任何库的情况下在 C++ 上将此十六进制转换为字符串(这样我就可以对其进行编码)。如果我将每个字节(2 个字符，因为十六进制 = 4 位)转换为 ASCII 字符然后编码，我是否正确？

提前致谢。

Answer 1

您的 hmac 步骤是正确的，确实具有正确的输出字节(如评论所述)。您遇到的转换问题是由临时字符串中的非显示字符引起的(未正确复制原始字节从第一个网页粘贴到第二个网页)。

要重现每个阶段的准确输出，您可以使用下面的这些命令。

在 C++ 方面，您应该尝试对原始字节进行操作，而不是对十六进制字符串进行操作。获取原始字节并通过 base64 URL 安全编码器运行它们。或者，如以下示例所示，获取原始字节，通过普通 base64 编码器运行它们，然后将生成的 base64 字符串修复为 URL 安全。

1. 构建标题

jwt_header=$(echo -n '{"alg":"HS256","typ":"JWT"}' | base64 | sed s/\+/-/g | sed 's/\//_/g' | sed -E s/=+$//)

# ans: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9

1. 构建有效负载

payload=$(echo -n '{"sub":"1234567890","name":"JohnDoe","iat":1516239022}' | base64 | sed s/\+/-/g |sed 's/\//_/g' |  sed -E s/=+$//)

# ans: eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG5Eb2UiLCJpYXQiOjE1MTYyMzkwMjJ9

1. 原始密码

secret="test123"

1. 将 secret 转换为十六进制(不是 base64)

hexsecret=$(echo -n "$secret" | xxd -p | tr -d '\n')

# ans: 74657374313233

1. 执行 hmac，并捕获原始字节(注意，这是一个不可打印的字符串)

hmac_signature_rawbytes=$(echo -n "${jwt_header}.${payload}" |  openssl dgst -sha256 -mac HMAC -macopt hexkey:$hexsecret -binary)

1. 将原始字节转储为十六进制，仅供说明(匹配 OP 输出)

echo -n ${hmac_signature_rawbytes} | xxd -p | tr -d '\n'

#ans: 3b59324118bcd59a5435194120c2cfcb7cf295f25a79149b79145696329ffb95

1. 对于 JWT 签名，将原始字节转换为 base64uri 编码

hmac_signature=$(echo -n ${hmac_signature_rawbytes} | base64  | sed s/\+/-/g | sed 's/\//_/g' | sed -E s/=+$//)

#ans: O1kyQRi81ZpUNRlBIMLPy3zylfJaeRSbeRRWljKf-5U

1. 创建完整的 token

jwt="${jwt_header}.${payload}.${hmac_signature}"

# ans: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG5Eb2UiLCJpYXQiOjE1MTYyMzkwMjJ9.O1kyQRi81ZpUNRlBIMLPy3zylfJaeRSbeRRWljKf-5U