Lew*_*ntz 9 go amazon-web-services jwt amazon-cognito jwt-go
如何验证和获取从 Amazon Cognito 收到的 JWT 的信息?
我在 Cognito 中设置了 Google 身份验证,并将重定向 uri 设置为命中 API 网关,然后我收到一个代码,我 POST 到这个端点:
https://docs.aws.amazon.com/cognito/latest/developerguide/token-endpoint.html
以 RS256 格式接收 JWT 令牌。我现在正在努力验证和解析 Golang 中的令牌。我尝试使用 jwt-go 解析它,但它似乎默认支持 HMAC,并阅读他们推荐使用前端验证的地方。我尝试了其他一些软件包并遇到了类似的问题。
我在这里遇到了这个答案:Go Language and Verify JWT但假设代码已经过时了,就像刚才说的那样panic: unable to find key。
jwt.io 可以很容易地解码密钥,并且可能也可以验证。我不确定亚马逊生成令牌时公共/秘密密钥在哪里,但据我所知,我也需要使用 JWK URL 进行验证?我找到了一些 AWS 特定的解决方案,但它们似乎都有数百行长。在 Golang 中肯定没有那么复杂吧?
Amazon Cognito 的公钥
正如您已经猜到的,您需要公钥来验证 JWT 令牌。
为您的用户池下载并存储相应的公共 JSON Web 密钥 (JWK)。它作为 JSON Web 密钥集 (JWKS) 的一部分提供。您可以在 https://cognito-idp.{region}.amazonaws.com/{userPoolId}/.well-known/jwks.json 找到它
解析密钥并验证令牌
该 JSON 文件结构记录在网络中,因此您可以手动解析它,生成公钥等。
但是只使用一个库可能会更容易,例如这个:https : //github.com/lestrrat-go/jwx
然后jwt-go处理JWT部分:https : //github.com/dgrijalva/jwt-go
然后你可以:
使用第一个库下载并解析公钥 JSON
keySet, err := jwk.Fetch(THE_COGNITO_URL_DESCRIBED_ABOVE)
使用 jwt-go 解析令牌时,使用 JWT 标头中的“kid”字段查找要使用的正确密钥
token, err := jwt.Parse(tokenString, func(token *jwt.Token) (interface{}, error) {
if _, ok := token.Method.(*jwt.SigningMethodRS256); !ok {
return nil, fmt.Errorf("Unexpected signing method: %v", token.Header["alg"])
}
kid, ok := token.Header["kid"].(string)
if !ok {
return nil, errors.New("kid header not found")
}
keys := keySet.LookupKeyID(kid);
if !ok {
return nil, fmt.Errorf("key with specified kid is not present in jwks")
}
var publickey interface{}
err = keys.Raw(&publickey)
if err != nil {
return nil, fmt.Errorf("could not parse pubkey")
}
return publickey, nil
v1.0.8这就是我仅使用最新的 ( )所做的github.com/lestrrat-go/jwx。请注意,它github.com/dgrijalva/jwt-go似乎不再被维护,人们正在分叉它来进行他们需要的更新。
package main
import (
...
"github.com/lestrrat-go/jwx/jwk"
"github.com/lestrrat-go/jwx/jwt"
)
...
keyset, err := jwk.Fetch("https://cognito-idp." + region + ".amazonaws.com/" + userPoolID + "/.well-known/jwks.json")
parsedToken, err := jwt.Parse(
bytes.NewReader(token), //token is a []byte
jwt.WithKeySet(keyset),
jwt.WithValidate(true),
jwt.WithIssuer(...),
jwt.WithClaimValue("key", value),
)
//check err as usual
//here you can call methods on the parsedToken to get the claim values
...
eugenioy 和 Kevin Wydler 提供的代码中的类型断言对我不起作用:*jwt.SigningMethodRS256 is not a type。
*jwt.SigningMethodRS256是初始提交中的一种类型。从第二次提交(早在 2014 年 7 月)开始,它就被抽象出来并被全局变量替换(请参阅此处)。
以下代码对我有用:
func verify(tokenString string, keySet *jwk.Set) {
tkn, err := jwt.Parse(tokenString, func(token *jwt.Token) (interface{}, error) {
if token.Method.Alg() != "RSA256" { // jwa.RS256.String() works as well
return nil, fmt.Errorf("Unexpected signing method: %v", token.Header["alg"])
}
kid, ok := token.Header["kid"].(string)
if !ok {
return nil, errors.New("kid header not found")
}
keys := keySet.LookupKeyID(kid)
if len(keys) == 0 {
return nil, fmt.Errorf("key %v not found", kid)
}
var raw interface{}
return raw, keys[0].Raw(&raw)
})
}
使用以下依赖版本:
github.com/dgrijalva/jwt-go/v4 v4.0.0-preview1
github.com/lestrrat-go/jwx v1.0.4
由于这次重构,尤金尼奥伊的答案不再对我有用。我最终解决了这样的问题
token, err := jwt.Parse(tokenString, func(token *jwt.Token) (interface{}, error) {
token, err := jwt.Parse(tokenString, func(token *jwt.Token) (interface{}, error) {
if _, ok := token.Method.(*jwt.SigningMethodRS256); !ok {
return nil, fmt.Errorf("Unexpected signing method: %v", token.Header["alg"])
}
kid, ok := token.Header["kid"].(string)
if !ok {
return nil, errors.New("kid header not found")
}
keys := keySet.LookupKeyID(kid);
if len(keys) == 0 {
return nil, fmt.Errorf("key %v not found", kid)
}
// keys[0].Materialize() doesn't exist anymore
var raw interface{}
return raw, keys[0].Raw(&raw)
})
| 归档时间: |
|
| 查看次数: |
5341 次 |
| 最近记录: |