c#如何驗證簽名JWT？

Question

我有一個令牌，一個包含公鑰的文件，我想驗證簽名。 我試圖基於此驗證簽名。

但是，decodedCrypto 和decodedSignature 不匹配。

這是我的代碼：

public static string Decode(string token, string key, bool verify)
    {
        var parts = token.Split('.');
        var header = parts[0];
        var payload = parts[1];
        byte[] crypto = Base64UrlDecode(parts[2]);

        var headerJson = Encoding.UTF8.GetString(Base64UrlDecode(header));
        var headerData = JObject.Parse(headerJson);
        var payloadJson = Encoding.UTF8.GetString(Base64UrlDecode(payload));
        var payloadData = JObject.Parse(payloadJson);

        if (verify)
        {
            var bytesToSign = Encoding.UTF8.GetBytes(string.Concat(header, ".", payload));
            var keyBytes = Encoding.UTF8.GetBytes(key);
            var algorithm = (string)headerData["alg"];
            var signature = HashAlgorithms[GetHashAlgorithm(algorithm)](keyBytes, bytesToSign);
            var decodedCrypto = Convert.ToBase64String(crypto);
            var decodedSignature = Convert.ToBase64String(signature);

            if (decodedCrypto != decodedSignature)
            {
                throw new ApplicationException(string.Format("Invalid signature. Expected {0} got {1}", decodedCrypto, decodedSignature));
            }
        }

        return payloadData.ToString();
    }

我確定令牌的簽名是有效的。 我嘗試在https://jwt.io/上進行驗證，結果顯示簽名已驗證。 所以問題是編碼、解碼的算法。

有沒有人可以解決這個問題？ 算法為 RS256

Answer 1

我終於得到了同事的解決方案。

對於那些有同樣問題的人，請嘗試我的代碼：

public static string Decode(string token, string key, bool verify = true)
{
    string[] parts = token.Split('.');
    string header = parts[0];
    string payload = parts[1];
    byte[] crypto = Base64UrlDecode(parts[2]);

    string headerJson = Encoding.UTF8.GetString(Base64UrlDecode(header));
    JObject headerData = JObject.Parse(headerJson);

    string payloadJson = Encoding.UTF8.GetString(Base64UrlDecode(payload));
    JObject payloadData = JObject.Parse(payloadJson);

    if (verify)
    {
        var keyBytes = Convert.FromBase64String(key); // your key here

        AsymmetricKeyParameter asymmetricKeyParameter = PublicKeyFactory.CreateKey(keyBytes);
        RsaKeyParameters rsaKeyParameters = (RsaKeyParameters)asymmetricKeyParameter;
        RSAParameters rsaParameters = new RSAParameters();
        rsaParameters.Modulus = rsaKeyParameters.Modulus.ToByteArrayUnsigned();
        rsaParameters.Exponent = rsaKeyParameters.Exponent.ToByteArrayUnsigned();
        RSACryptoServiceProvider rsa = new RSACryptoServiceProvider();
        rsa.ImportParameters(rsaParameters);

        SHA256 sha256 = SHA256.Create();
        byte[] hash = sha256.ComputeHash(Encoding.UTF8.GetBytes(parts[0] + '.' + parts[1]));

        RSAPKCS1SignatureDeformatter rsaDeformatter = new RSAPKCS1SignatureDeformatter(rsa);
        rsaDeformatter.SetHashAlgorithm("SHA256");
        if (!rsaDeformatter.VerifySignature(hash, FromBase64Url(parts[2])))
            throw new ApplicationException(string.Format("Invalid signature"));
    }

    return payloadData.ToString();
}

這個對我有用。 算法是RS256。

Answer 2

我知道這是一個舊線程但我可以recommended你使用這個庫而不是自己編寫。 它有一些很好的文檔來開始。 我沒有任何問題使用它。

Answer 3

如何使用JwtSecurityTokenHandler ？ 它可能看起來像這樣：

public bool ValidateToken(string token, byte[] secret)
{
    var tokenHandler = new JwtSecurityTokenHandler();

    var validationParameters = new TokenValidationParameters
    {
        ValidateIssuerSigningKey = true,
        IssuerSigningToken = new BinarySecretSecurityToken(secret)
    };

    SecurityToken validatedToken;
    try
    {
        tokenHandler.ValidateToken(token, validationParameters, out validatedToken);
    }
    catch (Exception)
    {
       return false;
    }

    return validatedToken != null;
}

請注意，我沒有對其進行測試，但我們在其中一個項目中使用了類似的實現

Answer 4

byte[] crypto = Base64UrlDecode(parts[2]);

在這一行中，你是base64解碼JWT令牌的簽名部分，但據我所知，該部分不是base64編碼的。 請試試這段代碼。 （我已經注釋掉了不必要的線條）

public static string Decode(string token, string key, bool verify)
{
    var parts = token.Split('.');
    var header = parts[0];
    var payload = parts[1];
    // byte[] crypto = Base64UrlDecode(parts[2]);
    var jwtSignature = parts[2];

    var headerJson = Encoding.UTF8.GetString(Base64UrlDecode(header));
    var headerData = JObject.Parse(headerJson);
    var payloadJson = Encoding.UTF8.GetString(Base64UrlDecode(payload));
    var payloadData = JObject.Parse(payloadJson);

    if (verify)
    {
        var bytesToSign = Encoding.UTF8.GetBytes(string.Concat(header, ".", payload));
        var keyBytes = Encoding.UTF8.GetBytes(key);
        var algorithm = (string)headerData["alg"];
        var computedJwtSignature = Encoding.UTF8.GetString(HashAlgorithms[GetHashAlgorithm(algorithm)](keyBytes, bytesToSign));
        // var decodedCrypto = Convert.ToBase64String(crypto);
        // var decodedSignature = Convert.ToBase64String(signature);

        if (jwtSignature != computedJwtSignature)
        {
            throw new ApplicationException(string.Format("Invalid signature. Expected {0} got {1}", decodedCrypto, decodedSignature));
        }
    }

    return payloadData.ToString();
}

Answer 5

有人可以和我分享一個類似的代碼，用於在 C# 或 powershell 中生成令牌

c#如何驗證簽名JWT？

問題描述

4 個解決方案

解決方案1
11 已采納 2016-03-23 10:27:16

解決方案2
6 2016-10-14 05:48:58

解決方案3
5 2016-03-23 07:27:44

解決方案4
0 2016-03-23 07:40:25

解決方案5
-2 2021-12-09 21:56:49

c#如何驗證簽名JWT？

問題描述

4 個解決方案

解決方案1 11 已采納 2016-03-23 10:27:16

解決方案2 6 2016-10-14 05:48:58

解決方案3 5 2016-03-23 07:27:44

解決方案4 0 2016-03-23 07:40:25

解決方案5 -2 2021-12-09 21:56:49

解決方案1
11 已采納 2016-03-23 10:27:16

解決方案2
6 2016-10-14 05:48:58

解決方案3
5 2016-03-23 07:27:44

解決方案4
0 2016-03-23 07:40:25

解決方案5
-2 2021-12-09 21:56:49