正确编码 JWT

Question

我正在尝试编写具有以下功能的简单 JWT 实现：

• 使用生成令牌HMAC
• 验证token（如果签名正确或者exp没有超时）
• 解码令牌并获取声明

从头开始，以便更好地深入了解它是如何工作的。

到目前为止，我找到了这篇文章如何从头开始在 golang 中构建身份验证微服务。其中有一章致力于从头开始实现 JWT。我用它去生成令牌，但是当我将令牌粘贴到https://jwt.io时，我收到了无效签名和以下警告：

• 警告：您的 JWT 签名似乎未使用 base64url ( https://tools.ietforg/html/rfc4648#section-5 ) 正确编码。请注意，必须根据https://tools.ietf.org/html/rfc7515#section-2省略填充（“=”）

• 警告：您的 JWT 标头似乎未使用 base64url ( https://tools.ietforg/html/rfc4648#section-5 ) 正确编码。请注意，必须根据https://tools.ietf.org/html/rfc7515#section-2省略填充（“=”）

• 警告：您的 JWT 负载似乎未使用 base64url ( https://tools.ietforg/html/rfc4648#section-5 ) 正确编码。请注意，必须根据https://tools.ietf.org/html/rfc7515#section-2省略填充（“=”）

我粘贴的令牌如下所示： eyAiYWxnIjogIkhTMjU2IiwgInR5cCI6ICJKV1QiIH0=.eyJhdWQiOiJmcm9udGVuZC5rbm93c2VhcmNoLm1sIiwiZXhwIjoiMTY1MTIyMjcyMyIsImlzcyI6Imtub3dzZWFyY2gubWwifQ==.SqCW8Hxakzck9Puzl0BEOkREPDyl38g2Fd4KFaDazV4=

我的 JWT 代码实现：

package main

import (
    "crypto/hmac"
    "crypto/sha256"
    "encoding/base64"
    "encoding/json"
    "fmt"
    "strings"
    "time"
)

func GenerateToken(header string, payload map[string]string, secret string) (string, error) {
    h := hmac.New(sha256.New, []byte(secret))
    header64 := base64.StdEncoding.EncodeToString([]byte(header))

    payloadstr, err := json.Marshal(payload)
    if err != nil {
        return "", err
    }
    payload64 := base64.StdEncoding.EncodeToString(payloadstr)

    message := header64 + "." + payload64

    unsignedStr := header + string(payloadstr)

    h.Write([]byte(unsignedStr))
    signature := base64.StdEncoding.EncodeToString(h.Sum(nil))

    tokenStr := message + "." + signature
    return tokenStr, nil
}

func ValidateToken(token string, secret string) (bool, error) {
    splitToken := strings.Split(token, ".")

    if len(splitToken) != 3 {
        return false, nil
    }

    header, err := base64.StdEncoding.DecodeString(splitToken[0])
    if err != nil {
        return false, err
    }
    payload, err := base64.StdEncoding.DecodeString(splitToken[1])
    if err != nil {
        return false, err
    }

    unsignedStr := string(header) + string(payload)
    h := hmac.New(sha256.New, []byte(secret))
    h.Write([]byte(unsignedStr))

    signature := base64.StdEncoding.EncodeToString(h.Sum(nil))
    fmt.Println(signature)

    if signature != splitToken[2] {
        return false, nil
    }

    return true, nil
}

func main() {
    claimsMap := map[string]string{
        "aud": "frontend.knowsearch.ml",
        "iss": "knowsearch.ml",
        "exp": fmt.Sprint(time.Now().Add(time.Second * 2).Unix()),
    }
    secret := "Secure_Random_String"
    header := `{ "alg": "HS256", "typ": "JWT" }`

    tokenString, err := GenerateToken(header, claimsMap, secret)
    if err != nil {
        fmt.Println(err)
        return
    }

    fmt.Println("token: ", tokenString)

    isValid, _ := ValidateToken(tokenString, secret)
    fmt.Println("is token valid: ", isValid)

    duration := time.Second * 4
    time.Sleep(duration)

    isValid, _ = ValidateToken(tokenString, secret)
    fmt.Println("is token valid: ", isValid)

}

上述实施有什么问题以及如何修复它并消除警告？

我决定用于Golang实现，但是非常感谢任何其他语言的示例。

Answer 1

JWT规范要求=删除所有填充字符：

使用 RFC 4648 [RFC4648] 第 5 节中定义的 URL 和文件名安全字符集进行 Base64 编码，省略所有尾随“=”字符（如第 3.2 节允许），并且不包含任何换行符、空格或其他附加字符。

您可以使用base64.RawURLEncoding ，它会创建没有填充的 Base64Url 编码，而不是base64.StdEncoding。

您可以在这个简短的 Go Playground示例StdEncoding中看到、RawStdEncoding和之间的差异。RawURLEncoding

另外，如果不是为了学习练习，我强烈建议使用JWT 库。