Javascript 如何在CryptoJS中使用私钥(pem)签署JWT?
我正在尝试用下面的代码创建一个在postman中签名的JWTJavascript 如何在CryptoJS中使用私钥(pem)签署JWT?,javascript,jwt,postman,cryptojs,Javascript,Jwt,Postman,Cryptojs,我正在尝试用下面的代码创建一个在postman中签名的JWT function base64url(source) { // Encode in classical base64 encodedSource = CryptoJS.enc.Base64.stringify(source); // Remove padding equal characters encodedSource = encodedSource.replace(/=+$/, '');
function base64url(source) {
// Encode in classical base64
encodedSource = CryptoJS.enc.Base64.stringify(source);
// Remove padding equal characters
encodedSource = encodedSource.replace(/=+$/, '');
// Replace characters according to base64url specifications
encodedSource = encodedSource.replace(/\+/g, '-');
encodedSource = encodedSource.replace(/\//g, '_');
return encodedSource;
}
function addIAT(request) {
var iat = Math.floor(Date.now() / 1000) + 257;
data.iat = iat;
return data;
}
var header = {
"typ": "JWT",
"alg": "HS256"
};
var data = {
"fname": "name",
"lname": "name",
"email": "email@domain.com",
"password": "abc123$"
};
data = addIAT(data);
var secret = 'myjwtsecret';
// encode header
var stringifiedHeader = CryptoJS.enc.Utf8.parse(JSON.stringify(header));
var encodedHeader = base64url(stringifiedHeader);
// encode data
var stringifiedData = CryptoJS.enc.Utf8.parse(JSON.stringify(data));
var encodedData = base64url(stringifiedData);
// build token
var token = encodedHeader + "." + encodedData;
// sign token
var signature = CryptoJS.HmacSHA256(token, secret);
signature = base64url(signature);
var signedToken = token + "." + signature;
postman.setEnvironmentVariable("payload", signedToken);
代码取自
我一直试图输入PEM作为秘密,但不起作用。也找不到任何需要PEM的HmacSHA256重载
怎么能做到呢?提到邮递员改变了这一点。我有一个解决方案给你,但无论如何这都不是一个干净的方法 您需要创建一个请求,无论何时打开postman,都需要执行该请求。如下所示: 此请求的目的是侧向加载
jsrsasign js
,并将其存储在全局Postman变量中
完成此操作后,您可以在其他地方使用此内容。对于每个需要RSA256 JWT签名的请求,以下请求前脚本将使用令牌更新一个变量(此处,token
):
var navigator = {};
var window = {};
eval(pm.globals.get("jsrsasign-js"));
function addIAT(request) {
var iat = Math.floor(Date.now() / 1000) + 257;
data.iat = iat;
return data;
}
var header = {"alg" : "RS256","typ" : "JWT"};
var data = {
"fname": "name",
"lname": "name",
"email": "email@domain.com",
"password": "abc123$"
};
data = addIAT(data);
var privateKey = "-----BEGIN RSA PRIVATE KEY----- \
MIIBOQIBAAJAcrqH0L91/j8sglOeroGyuKr1ABvTkZj0ATLBcvsA91/C7fipAsOn\
RqRPZr4Ja+MCx0Qvdc6JKXa5tSb51bNwxwIDAQABAkBPzI5LE+DuRuKeg6sLlgrJ\
h5+Bw9kUnF6btsH3R78UUANOk0gGlu9yUkYKUkT0SC9c6HDEKpSqILAUsXdx6SOB\
AiEA1FbR++FJ56CEw1BiP7l1drM9Mr1UVvUp8W71IsoZb1MCIQCKUafDLg+vPj1s\
HiEdrPZ3pvzvteXLSuniH15AKHEuPQIhAIsgB519UysMpXBDbtxJ64jGj8Z6/pOr\
NrwV80/EEz45AiBlgTLZ2w2LjuNIWnv26R0eBZ+M0jHGlD06wcZK0uLsCQIgT1kC\
uNcDTERjwEbFKJpXC8zTLSPcaEOlbiriIKMnpNw=\
-----END RSA PRIVATE KEY-----";
var sHeader = JSON.stringify(header);
var sPayload = JSON.stringify(data);
var sJWT = KJUR.jws.JWS.sign(header.alg, sHeader, sPayload, privateKey);
pm.variables.set('token', sJWT);
为了:
-我将mockwindow
和navigator
对象定义为jsrsasign-js
需要它们。
-然后,我将eval()
我们先前获取的内容重新水化
-代码的其余部分是jsrsasign js
的简单用法。你的令牌信息在那里,我在那里定义了一个私钥。您可以对此进行更改或使用环境变量;它只是为了演示的目的。然后,我只需使用重新水化的库对其进行签名,并将变量设置为已签名JWT的值
您所指的
PEM
,是一种容器格式,指定公钥和/或私钥的组合。您正在使用它来使用HMAC-SHA256
进行签名,它在共享的秘密上运行。这显然是行不通的(除非你采用穷人的方法,并使用你的公钥作为共享秘密)
幸运的是,RFCs中还定义了其他签名方法。例如,有一种使用RSA签名的方法,还有一种将公钥定义为(JWK
)的非常方便的方法。我们将利用两者
我已经为测试生成了一个密钥对,它们被命名为out
和out.pub
。生成工具是genrsa
(因此,它们是RSA密钥对)
为了签字,我们必须改变一些事情:
- 如上所述,我们正在将算法从
更改为HS256
RS256
- 我们需要一个新的库来进行签名,因为
不支持非对称密钥加密。我们将回到本机crypto js
加密
模块,尽管有纯JS的替代方案
var CryptoJS = require("crypto-js");
var keyFileContent = require("fs").readFileSync("./out");
var pubkey = require("fs").readFileSync("./out.pub");
var base64url = require("base64url");
var nJwt = require("njwt");
function addIAT(request) {
var iat = Math.floor(Date.now() / 1000) + 257;
data.iat = iat;
return data;
}
var header = {
"typ": "JWT",
"alg": "RS256"
};
var data = {
"fname": "name",
"lname": "name",
"email": "email@domain.com",
"password": "abc123$"
};
data = addIAT(data);
// encode header
var stringifiedHeader = JSON.stringify(header);
var encodedHeader = base64url(stringifiedHeader);
// encode data
var stringifiedData = JSON.stringify(data);
var encodedData = base64url(stringifiedData);
// build token
var token = encodedHeader + "." + encodedData;
// sign token
var signatureAlg = require("crypto").createSign("sha256");
signatureAlg.update(token);
var signature = signatureAlg.sign(keyFileContent);
signature = base64url(signature);
var signedToken = token + "." + signature;
console.log(signedToken);
// Verify
var verifier = new nJwt.Verifier();
verifier.setSigningAlgorithm('RS256');
verifier.setSigningKey(pubkey);
verifier.verify(signedToken, function() {
console.log(arguments);
});
就这样!虽然我不建议从头开始重写
crypto
中的sign()
函数,但它确实很简单。把它交给社区彻底检查过的图书馆,加密是一项非常严肃的工作。你最终成功地让它工作了吗?我不能在《邮递员》中使用它。Postman拒绝加载base64url和njwt模块,出于某种原因,它加载crypto js Postman的沙箱只允许一些节点模块(crypto js
是唯一与加密相关的模块),这将非常有趣,因为cryptojs不支持RSA。解决了这个问题:私钥中有空格字符。他们需要对密钥进行格式化,并且不带转义空格。这是目前最被低估的答案之一,即使有赏金。)我最终采用了稍微不同的方法来处理PK,使其成为环境设置的一部分(从而避免了从pre-req脚本中剪切它)。