堆棧內存溢出
  簡體   English   中英

如何在純Scala中驗證JWT令牌的HMAC簽名?

[英]How can I validate the HMAC signature of a JWT token in pure Scala?

 原文  2015-12-14 14:09:56       scala/ playframework/ jwt/ twitter-finagle

問題描述

有一些不錯的JWT令牌解碼庫,但我覺得我不需要任何庫,因為它應該歸結為base64編碼/解碼和基本加密算法 ,可以在標准庫中找到。

我找到了authentikat-jwt,但它引入了Apache common-codec和Json4s,我真的不想在我的項目中使用:例如我已經使用了另一個Json庫!

我找到了jwt-scala並且引入了所有類型的Play框架。再次,我只是在Finagle中制作一個微小的微服務!

一遍又一遍,我感覺我所需要的只是一根香蕉,我得到的是拿着香蕉的大猩猩

1 個解決方案

解決方案1
 2  2015-12-14 14:09:56

我終於寫完了自己的驗證器。 這段代碼中唯一的“依賴”是我的Json庫恰好是rapture-json 您可以完全用自己的庫或甚至正則表達式替換它(您只需要從一個小的Json對象中提取字段) 

/**
  * Created by sscarduzio on 14/12/2015.
  */
object JWTSignatureValidator {

  import javax.crypto.Mac
  import javax.crypto.spec.SecretKeySpec


  def sign(algorithm: String, headerAndClaims: String, key: Array[Byte]): Array[Byte] = {
    val algo = algorithm match {
      case "HS256" => "HmacSHA256"
      case "HS348" => "HmacSHA348"
      case "HS512" => "HmacSHA512"
      case "none" => "NONE"
      case _ => throw new Exception("algo not found for verification of JWT: " + algorithm)
    }
    val scs = new SecretKeySpec(key, algo)
    val mac = Mac.getInstance(algo)
    mac.init(scs)
    mac.doFinal(headerAndClaims.getBytes)
  }

  def decodeBase64(str: String): String = new String(new sun.misc.BASE64Decoder().decodeBuffer(str), "UTF-8")

  def encodeBase64URLSafeString(bytes: Array[Byte]): String = {
    // the "url safe" part in apache codec is just replacing the + with - and / with _
    val s = new sun.misc.BASE64Encoder().encode(bytes).map(c => if (c == '+') '-' else c).map(c => if (c == '/') '_' else c)
    // We don't need the Base64 padding for JWT '='
    s.substring(0, s.size - 1)
  }

  import rapture.json._
  import jsonBackends.argonaut._

  def validate(jwt: String, key: String, keyIsBase64Encoded: Boolean): Boolean = {

    jwt.split("\\.") match {
      case Array(providedHeader, providedClaims, providedSignature) =>

        val headerJsonString = decodeBase64(providedHeader)
        val algorithm = Json.parse(headerJsonString).alg.as[String]
        val ourSignature = encodeBase64URLSafeString(sign(algorithm, providedHeader + "." + providedClaims, if (keyIsBase64Encoded) decodeBase64(key).getBytes("UTF-8") else key.getBytes("UTF-8")))
        providedSignature.contentEquals(ourSignature)
      case _ =>
        false
    }
  }
}

用法

validate函數支持base64或字符串鍵。 這是演示如何使用本教程中的示例標記和簽名來使用它。 https://scotch.io/tutorials/the-anatomy-of-a-json-web-token 

val token = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ"
val key = "c2VjcmV0=" // base64 of 'secret' 
println(validate(token, key, true))

免責聲明/信用

我無恥地從authentikat-jwt了一些代碼,並用相同內容的標准Java版本替換了apache通用編解碼器代碼。

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 Scala有多純粹和懶惰? 如何使用 JWT 令牌保護 Scala Play 端點 如何使用Scala驗證Vaadin中表中的字段 [Scala] [播放]如何使用三種可能的配置驗證事件? 如何在不獲取Scala中的類型擦除編譯器警告的情況下匹配函數簽名 如何在Scala Play 2.4.X中驗證OAuth簽名 另一個“無法驗證oauth簽名和令牌” 如何在純Scala中表示盒裝Double? 如何存儲純Scala代碼 如何使用通用模塊Gatling3.1生成HMAC簽名
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM