Расшифровка и проверка токена JWT с использованием System.IdentityModel.Tokens.Jwt

Я использовал библиотеку JWT для декодирования веб-токена Json и хотел бы перейти на официальную реализацию JWT от Microsoft, System.IdentityModel.Tokens.Jwt .

Документация очень скудная, поэтому мне сложно понять, как добиться того, что я делал с библиотекой JWT. В библиотеке JWT есть метод Decode, который берет JWT в кодировке base64 и превращает его в JSON, который затем можно десериализовать. Я хотел бы сделать что-то подобное с помощью System.IdentityModel.Tokens.Jwt, но после изрядного количества копаний не могу понять, как это сделать.

Как бы то ни было, я читаю токен JWT из файла cookie для использования с платформой идентификации Google.

Любая помощь будет оценена.

Внутри пакета есть класс, JwtSecurityTokenHandlerпроизводный от System.IdentityModel.Tokens.SecurityTokenHandler. В WIF это основной класс для десериализации и сериализации токенов безопасности.

У класса есть ReadToken(String)метод, который принимает вашу строку JWT в кодировке base64 и возвращает a, SecurityTokenкоторый представляет JWT.

SecurityTokenHandlerТакже есть ValidateToken(SecurityToken)метод , который принимает ваш SecurityTokenи создает ReadOnlyCollection<ClaimsIdentity>. Обычно для JWT это будет один ClaimsIdentityобъект с набором утверждений, представляющих свойства исходного JWT.

JwtSecurityTokenHandlerопределяет некоторые дополнительные перегрузки ValidateToken, в частности, для ClaimsPrincipal ValidateToken(JwtSecurityToken, TokenValidationParameters)перегрузки. TokenValidationParametersАргумент позволяет указать сертификат маркеров подписи (в виде списка X509SecurityTokens). Он также имеет перегрузку, которая воспринимает JWT как файл, stringа не как SecurityToken.

Код для этого довольно сложен, но его можно найти в коде ( TokenValidationHandlerклассе) Global.asax.cx в образце разработчика под названием «ADAL - Собственное приложение для службы REST - Аутентификация с ACS через диалог браузера», расположенном по адресу

http://code.msdn.microsoft.com/AAL-Native-App-to-REST-de57f2cc

В качестве альтернативы у JwtSecurityTokenкласса есть дополнительные методы, которых нет в базовом SecurityTokenклассе, например Claimsсвойство, которое получает содержащиеся утверждения без прохождения через ClaimsIdentityколлекцию. У него также есть Payloadсвойство, которое возвращает JwtPayloadобъект, который позволяет вам получить необработанный JSON токена. Выбор наиболее подходящего подхода зависит от вашего сценария.

Общая (т.е. не относящаяся к JWT) документация для SecurityTokenHandlerкласса находится по адресу

http://msdn.microsoft.com/en-us/library/system.identitymodel.tokens.securitytokenhandler.aspx

В зависимости от вашего приложения вы можете настроить обработчик JWT в конвейер WIF точно так же, как любой другой обработчик.

Три его образца используются в различных приложениях по адресу:

http://code.msdn.microsoft.com/site/search?f%5B0%5D.Type=SearchText&f%5B0%5D.Value=aal&f%5B1%5D.Type=User&f%5B1%5D.Value=Azure% 20AD% 20Developer% 20Experience% 20Team & f% 5B1% 5D.Text = Azure% 20AD% 20Developer% 20Experience% 20Team

Возможно, один будет соответствовать вашим потребностям или, по крайней мере, будет адаптирован к ним.

Мне просто интересно, зачем вообще использовать некоторые библиотеки для декодирования и проверки токена JWT.

Закодированный токен JWT можно создать, используя следующий псевдокод

var headers = base64URLencode(myHeaders);
var claims = base64URLencode(myClaims);
var payload = header + "." + claims;

var signature = base64URLencode(HMACSHA256(payload, secret));

var encodedJWT = payload + "." + signature;

Очень легко обойтись без какой-либо конкретной библиотеки. Используя следующий код:

using System;
using System.Text;
using System.Security.Cryptography;

public class Program
{   
    // More info: https://stormpath.com/blog/jwt-the-right-way/
    public static void Main()
    {           
        var header = "{\"typ\":\"JWT\",\"alg\":\"HS256\"}";
        var claims = "{\"sub\":\"1047986\",\"email\":\"jon.doe@eexample.com\",\"given_name\":\"John\",\"family_name\":\"Doe\",\"primarysid\":\"b521a2af99bfdc65e04010ac1d046ff5\",\"iss\":\"http://example.com\",\"aud\":\"myapp\",\"exp\":1460555281,\"nbf\":1457963281}";

        var b64header = Convert.ToBase64String(Encoding.UTF8.GetBytes(header))
            .Replace('+', '-')
            .Replace('/', '_')
            .Replace("=", "");
        var b64claims = Convert.ToBase64String(Encoding.UTF8.GetBytes(claims))
            .Replace('+', '-')
            .Replace('/', '_')
            .Replace("=", "");

        var payload = b64header + "." + b64claims;
        Console.WriteLine("JWT without sig:    " + payload);

        byte[] key = Convert.FromBase64String("mPorwQB8kMDNQeeYO35KOrMMFn6rFVmbIohBphJPnp4=");
        byte[] message = Encoding.UTF8.GetBytes(payload);

        string sig = Convert.ToBase64String(HashHMAC(key, message))
            .Replace('+', '-')
            .Replace('/', '_')
            .Replace("=", "");

        Console.WriteLine("JWT with signature: " + payload + "." + sig);        
    }

    private static byte[] HashHMAC(byte[] key, byte[] message)
    {
        var hash = new HMACSHA256(key);
        return hash.ComputeHash(message);
    }
}

Декодирование токена - это обратная версия кода, приведенного выше. Для проверки подписи вам потребуется то же самое и сравнить часть подписи с рассчитанной подписью.

ОБНОВЛЕНИЕ: для тех, кто борется за кодирование / декодирование urlsafe base64, см. Другой вопрос SO , а также вики и RFC