Gru*_*l3r 5 security x509certificate2 public-key jwt .net-core
我的项目正在构建基于 .NET Core 和System.IdentityModel.Tokens.Jwtnuget 包的身份验证服务。我们希望创建包含可用于验证 JWT 数字签名的公钥证书(或证书链)的 JWT 令牌。这对于商业身份提供商 (SaaS) 来说是可能的,并且在 JWT 规范中通过名为“x5c”的标头参数来支持。但到目前为止,我还无法使用System.IdentityModel.Tokens.Jwt.
我能够创建使用证书签名的 JWT 令牌。该证书是自签名的,并使用 openssl 创建(下面包含命令)。我的 C# 测试代码如下所示:
using Microsoft.IdentityModel.Tokens;
using System.IdentityModel.Tokens.Jwt;
// more usings..
public static string GenerateJwtToken(int exampleAccountId, string x509CertFilePath, string x509CertFilePassword)
{
var tokenHandler = new JwtSecurityTokenHandler();
var signingCert = new X509Certificate2(x509CertFilePath, x509CertFilePassword);
var tokenDescriptor = new SecurityTokenDescriptor
{
Subject = new ClaimsIdentity(new[] { new Claim(ClaimTypes.Name, exampleAccountId.ToString()) }),
Expires = DateTime.UtcNow.AddDays(30),
Audience = "myapp:1",
Issuer = "self",
SigningCredentials = new X509SigningCredentials(signingCert, SecurityAlgorithms.RsaSha512Signature),
Claims = new Dictionary<string, object>()
{
["test1"] = "hello world",
["test2"] = new List<int> { 1, 2, 4, 9 }
}
};
var token = tokenHandler.CreateToken(tokenDescriptor);
return tokenHandler.WriteToken(token);
}
生成的令牌标头在 jwt.io 中反序列化为:
{
"alg": "RS512",
"kid": "193A49ED67F22850F4A95258FF07571A985BFCBE",
"x5t": "GTpJ7WfyKFD0qVJY_wdXGphb_L4",
"typ": "JWT"
}
问题是,我也想获得“x5c”标头参数输出。原因是我的项目试图将证书包含在公钥中以验证令牌本身内部的令牌签名,而“x5c”是实现此目的的好方法。但我就是无法让它发挥作用。
我尝试使用AdditionalHeaderClaimson手动添加 x5c SecurityTokenDescriptor,但它只是没有在令牌中输出。
有谁知道如何做到这一点,或者您能给我指出一些关于该主题的可靠资源吗?
顺便说一句,这就是我生成所用证书的方式(在 Windows 上):
openssl genrsa -out private2048b.key 2048
openssl req -new -key private2048b.key -out myrequest2048.csr -config <path to openssl.cfg>
openssl x509 -req -days 3650 -in myrequest2048.csr -signkey private2048b.key -out public2048b.crt
openssl pkcs12 -keypbe PBE-SHA1-3DES -certpbe PBE-SHA1-3DES -export -in public2048b.crt -inkey private2048b.key -out mypkcs2048.pfx -name "Testtest"
PFX 是代码中正在读取和使用的文件。
为后代更新
使用 Abdulrahman Falyoun 的答案,代码的最后部分已更新为用于token.Header.Add在序列化 JWT 令牌之前手动添加“x5c”标头参数。令牌必须转换为 JwtSecurityToken。这很有效,并在https://jwt.io中创建了一个有效的令牌(并且具有可以立即验证的签名):
openssl genrsa -out private2048b.key 2048
openssl req -new -key private2048b.key -out myrequest2048.csr -config <path to openssl.cfg>
openssl x509 -req -days 3650 -in myrequest2048.csr -signkey private2048b.key -out public2048b.crt
openssl pkcs12 -keypbe PBE-SHA1-3DES -certpbe PBE-SHA1-3DES -export -in public2048b.crt -inkey private2048b.key -out mypkcs2048.pfx -name "Testtest"
x5c是什么?
“x5c”(X.509 证书链)标头参数包含与用于对 JWS 进行数字签名的密钥相对应的 X.509 公钥证书或证书链 [RFC5280]。证书或证书链表示为证书值字符串的 JSON 数组。数组中的每个字符串都是一个 base64 编码(不是 base64url 编码)的 DER [ITU.X690.2008] PKIX 证书值。包含与用于对 JWS 进行数字签名的密钥相对应的公钥的证书必须是第一个证书。后面可能会跟有其他证书,每个后续证书都用于证明前一个证书。接收者必须根据 RFC 5280 [RFC5280] 验证证书链,如果发生任何验证失败,则认为证书或证书链无效。此标头参数的使用是可选的。
笔记
从安全角度来看——不要使用x5c证书直接验证签名。在这种情况下,任何人都可以提供自己的证书并欺骗任何身份。x5t / x5t#S256 标头的目的是识别签名者 - 检查您是否信任指定的 x5c 或 x5t#S256 (或其颁发者)提供的证书
iss,只有这样您才应该验证签名。
所以要构建X509链
X509Chain chain = new X509Chain()
bool success = chain.Build(cert);
if (!success) throw Error
然后,对于每个chain.ChainElements值,获取“Certificate”属性RawValue(并对其进行 base64 编码)。
最后,您获得了 的字符串,x5c并且应该只将其提供给 的标头jwt。
请参阅以下链接
希望它有用。
如果问题是x5c向标头提供 ,您必须使用添加它
token.Header.Add(name, value)
| 归档时间: |
|
| 查看次数: |
10394 次 |
| 最近记录: |