c#如何验证签名JWT？

Question

我有一个令牌，一个包含公钥的文件，我想验证签名。 我试图基于此验证签名。

但是，decodedCrypto 和decodedSignature 不匹配。

这是我的代码：

public static string Decode(string token, string key, bool verify)
    {
        var parts = token.Split('.');
        var header = parts[0];
        var payload = parts[1];
        byte[] crypto = Base64UrlDecode(parts[2]);

        var headerJson = Encoding.UTF8.GetString(Base64UrlDecode(header));
        var headerData = JObject.Parse(headerJson);
        var payloadJson = Encoding.UTF8.GetString(Base64UrlDecode(payload));
        var payloadData = JObject.Parse(payloadJson);

        if (verify)
        {
            var bytesToSign = Encoding.UTF8.GetBytes(string.Concat(header, ".", payload));
            var keyBytes = Encoding.UTF8.GetBytes(key);
            var algorithm = (string)headerData["alg"];
            var signature = HashAlgorithms[GetHashAlgorithm(algorithm)](keyBytes, bytesToSign);
            var decodedCrypto = Convert.ToBase64String(crypto);
            var decodedSignature = Convert.ToBase64String(signature);

            if (decodedCrypto != decodedSignature)
            {
                throw new ApplicationException(string.Format("Invalid signature. Expected {0} got {1}", decodedCrypto, decodedSignature));
            }
        }

        return payloadData.ToString();
    }

我确定令牌的签名是有效的。 我尝试在https://jwt.io/上进行验证，结果显示签名已验证。 所以问题是编码、解码的算法。

有没有人可以解决这个问题？ 算法为 RS256

Answer 1

我终于得到了同事的解决方案。

对于那些有同样问题的人，请尝试我的代码：

public static string Decode(string token, string key, bool verify = true)
{
    string[] parts = token.Split('.');
    string header = parts[0];
    string payload = parts[1];
    byte[] crypto = Base64UrlDecode(parts[2]);

    string headerJson = Encoding.UTF8.GetString(Base64UrlDecode(header));
    JObject headerData = JObject.Parse(headerJson);

    string payloadJson = Encoding.UTF8.GetString(Base64UrlDecode(payload));
    JObject payloadData = JObject.Parse(payloadJson);

    if (verify)
    {
        var keyBytes = Convert.FromBase64String(key); // your key here

        AsymmetricKeyParameter asymmetricKeyParameter = PublicKeyFactory.CreateKey(keyBytes);
        RsaKeyParameters rsaKeyParameters = (RsaKeyParameters)asymmetricKeyParameter;
        RSAParameters rsaParameters = new RSAParameters();
        rsaParameters.Modulus = rsaKeyParameters.Modulus.ToByteArrayUnsigned();
        rsaParameters.Exponent = rsaKeyParameters.Exponent.ToByteArrayUnsigned();
        RSACryptoServiceProvider rsa = new RSACryptoServiceProvider();
        rsa.ImportParameters(rsaParameters);

        SHA256 sha256 = SHA256.Create();
        byte[] hash = sha256.ComputeHash(Encoding.UTF8.GetBytes(parts[0] + '.' + parts[1]));

        RSAPKCS1SignatureDeformatter rsaDeformatter = new RSAPKCS1SignatureDeformatter(rsa);
        rsaDeformatter.SetHashAlgorithm("SHA256");
        if (!rsaDeformatter.VerifySignature(hash, FromBase64Url(parts[2])))
            throw new ApplicationException(string.Format("Invalid signature"));
    }

    return payloadData.ToString();
}

这个对我有用。 算法是RS256。

Answer 2

我知道这是一个旧线程但我可以recommended你使用这个库而不是自己编写。 它有一些很好的文档来开始。 我没有任何问题使用它。

Answer 3

如何使用JwtSecurityTokenHandler ？ 它可能看起来像这样：

public bool ValidateToken(string token, byte[] secret)
{
    var tokenHandler = new JwtSecurityTokenHandler();

    var validationParameters = new TokenValidationParameters
    {
        ValidateIssuerSigningKey = true,
        IssuerSigningToken = new BinarySecretSecurityToken(secret)
    };

    SecurityToken validatedToken;
    try
    {
        tokenHandler.ValidateToken(token, validationParameters, out validatedToken);
    }
    catch (Exception)
    {
       return false;
    }

    return validatedToken != null;
}

请注意，我没有对其进行测试，但我们在其中一个项目中使用了类似的实现

Answer 4

byte[] crypto = Base64UrlDecode(parts[2]);

在这一行中，你是base64解码JWT令牌的签名部分，但据我所知，该部分不是base64编码的。 请试试这段代码。 （我已经注释掉了不必要的线条）

public static string Decode(string token, string key, bool verify)
{
    var parts = token.Split('.');
    var header = parts[0];
    var payload = parts[1];
    // byte[] crypto = Base64UrlDecode(parts[2]);
    var jwtSignature = parts[2];

    var headerJson = Encoding.UTF8.GetString(Base64UrlDecode(header));
    var headerData = JObject.Parse(headerJson);
    var payloadJson = Encoding.UTF8.GetString(Base64UrlDecode(payload));
    var payloadData = JObject.Parse(payloadJson);

    if (verify)
    {
        var bytesToSign = Encoding.UTF8.GetBytes(string.Concat(header, ".", payload));
        var keyBytes = Encoding.UTF8.GetBytes(key);
        var algorithm = (string)headerData["alg"];
        var computedJwtSignature = Encoding.UTF8.GetString(HashAlgorithms[GetHashAlgorithm(algorithm)](keyBytes, bytesToSign));
        // var decodedCrypto = Convert.ToBase64String(crypto);
        // var decodedSignature = Convert.ToBase64String(signature);

        if (jwtSignature != computedJwtSignature)
        {
            throw new ApplicationException(string.Format("Invalid signature. Expected {0} got {1}", decodedCrypto, decodedSignature));
        }
    }

    return payloadData.ToString();
}

Answer 5

有人可以和我分享一个类似的代码，用于在 C# 或 powershell 中生成令牌

c#如何验证签名JWT？

问题描述

4 个解决方案

解决方案1
11 已采纳 2016-03-23 10:27:16

解决方案2
6 2016-10-14 05:48:58

解决方案3
5 2016-03-23 07:27:44

解决方案4
0 2016-03-23 07:40:25

解决方案5
-2 2021-12-09 21:56:49

c#如何验证签名JWT？

问题描述

4 个解决方案

解决方案1 11 已采纳 2016-03-23 10:27:16

解决方案2 6 2016-10-14 05:48:58

解决方案3 5 2016-03-23 07:27:44

解决方案4 0 2016-03-23 07:40:25

解决方案5 -2 2021-12-09 21:56:49

解决方案1
11 已采纳 2016-03-23 10:27:16

解决方案2
6 2016-10-14 05:48:58

解决方案3
5 2016-03-23 07:27:44

解决方案4
0 2016-03-23 07:40:25

解决方案5
-2 2021-12-09 21:56:49