Javascript 如何在CryptoJS中使用私钥（pem）签署JWT？_Javascript_Jwt_Postman_Cryptojs

Javascript 如何在CryptoJS中使用私钥（pem）签署JWT？

javascript jwt postman

Javascript 如何在CryptoJS中使用私钥（pem）签署JWT？,javascript,jwt,postman,cryptojs,Javascript,Jwt,Postman,Cryptojs,我正在尝试用下面的代码创建一个在postman中签名的JWT function base64url(source) { // Encode in classical base64 encodedSource = CryptoJS.enc.Base64.stringify(source); // Remove padding equal characters encodedSource = encodedSource.replace(/=+$/, '');

我正在尝试用下面的代码创建一个在postman中签名的JWT

function base64url(source) {
    // Encode in classical base64
    encodedSource = CryptoJS.enc.Base64.stringify(source);

    // Remove padding equal characters
    encodedSource = encodedSource.replace(/=+$/, '');

    // Replace characters according to base64url specifications
    encodedSource = encodedSource.replace(/\+/g, '-');
    encodedSource = encodedSource.replace(/\//g, '_');

    return encodedSource;
}

function addIAT(request) {
    var iat = Math.floor(Date.now() / 1000) + 257;
    data.iat = iat;
    return data;
}


var header = {
    "typ": "JWT",
    "alg": "HS256"
};

var data = {
    "fname": "name",
    "lname": "name",
    "email": "email@domain.com",
    "password": "abc123$"
};

data = addIAT(data);

var secret = 'myjwtsecret';

// encode header
var stringifiedHeader = CryptoJS.enc.Utf8.parse(JSON.stringify(header));
var encodedHeader = base64url(stringifiedHeader);

// encode data
var stringifiedData = CryptoJS.enc.Utf8.parse(JSON.stringify(data));
var encodedData = base64url(stringifiedData);

// build token
var token = encodedHeader + "." + encodedData;

// sign token
var signature = CryptoJS.HmacSHA256(token, secret);
signature = base64url(signature);
var signedToken = token + "." + signature;

postman.setEnvironmentVariable("payload", signedToken);

代码取自

我一直试图输入PEM作为秘密，但不起作用。也找不到任何需要PEM的HmacSHA256重载

怎么能做到呢？

提到邮递员改变了这一点。我有一个解决方案给你，但无论如何这都不是一个干净的方法

您需要创建一个请求，无论何时打开postman，都需要执行该请求。如下所示：

此请求的目的是侧向加载

jsrsasign js

，并将其存储在全局Postman变量中

完成此操作后，您可以在其他地方使用此内容。对于每个需要RSA256 JWT签名的请求，以下请求前脚本将使用令牌更新一个变量（此处，

token

）：

var navigator = {};
var window = {};
eval(pm.globals.get("jsrsasign-js"));

function addIAT(request) {
    var iat = Math.floor(Date.now() / 1000) + 257;
    data.iat = iat;
    return data;
}

var header = {"alg" : "RS256","typ" : "JWT"};
var data = {
    "fname": "name",
    "lname": "name",
    "email": "email@domain.com",
    "password": "abc123$"
};

data = addIAT(data);

var privateKey = "-----BEGIN RSA PRIVATE KEY----- \
MIIBOQIBAAJAcrqH0L91/j8sglOeroGyuKr1ABvTkZj0ATLBcvsA91/C7fipAsOn\
RqRPZr4Ja+MCx0Qvdc6JKXa5tSb51bNwxwIDAQABAkBPzI5LE+DuRuKeg6sLlgrJ\
h5+Bw9kUnF6btsH3R78UUANOk0gGlu9yUkYKUkT0SC9c6HDEKpSqILAUsXdx6SOB\
AiEA1FbR++FJ56CEw1BiP7l1drM9Mr1UVvUp8W71IsoZb1MCIQCKUafDLg+vPj1s\
HiEdrPZ3pvzvteXLSuniH15AKHEuPQIhAIsgB519UysMpXBDbtxJ64jGj8Z6/pOr\
NrwV80/EEz45AiBlgTLZ2w2LjuNIWnv26R0eBZ+M0jHGlD06wcZK0uLsCQIgT1kC\
uNcDTERjwEbFKJpXC8zTLSPcaEOlbiriIKMnpNw=\
-----END RSA PRIVATE KEY-----";

var sHeader = JSON.stringify(header);
var sPayload = JSON.stringify(data);

var sJWT = KJUR.jws.JWS.sign(header.alg, sHeader, sPayload, privateKey);

pm.variables.set('token', sJWT);

为了： -我将mock

window

和

navigator

对象定义为

jsrsasign-js

需要它们。 -然后，我将

eval（）

我们先前获取的内容重新水化 -代码的其余部分是

jsrsasign js

的简单用法。你的令牌信息在那里，我在那里定义了一个私钥。您可以对此进行更改或使用环境变量；它只是为了演示的目的。然后，我只需使用重新水化的库对其进行签名，并将变量设置为已签名JWT的值

您所指的

PEM

，是一种容器格式，指定公钥和/或私钥的组合。您正在使用它来使用

HMAC-SHA256

进行签名，它在共享的秘密上运行。这显然是行不通的（除非你采用穷人的方法，并使用你的公钥作为共享秘密）

幸运的是，RFCs中还定义了其他签名方法。例如，有一种使用RSA签名的方法，还有一种将公钥定义为（

JWK

）的非常方便的方法。我们将利用两者

我已经为测试生成了一个密钥对，它们被命名为

out

和

out.pub

。生成工具是

genrsa

（因此，它们是RSA密钥对）

为了签字，我们必须改变一些事情：

如上所述，我们正在将算法从
```
HS256
```
更改为
```
RS256
```

我们需要一个新的库来进行签名，因为

crypto js

不支持非对称密钥加密。我们将回到本机

加密模块，尽管有纯JS的替代方案


守则：
var CryptoJS = require("crypto-js");
var keyFileContent = require("fs").readFileSync("./out");
var pubkey = require("fs").readFileSync("./out.pub");
var base64url = require("base64url");
var nJwt = require("njwt");
function addIAT(request) {
    var iat = Math.floor(Date.now() / 1000) + 257;
    data.iat = iat;
    return data;
}


var header = {
    "typ": "JWT",
    "alg": "RS256"
};

var data = {
    "fname": "name",
    "lname": "name",
    "email": "email@domain.com",
    "password": "abc123$"
};

data = addIAT(data);

// encode header
var stringifiedHeader = JSON.stringify(header);
var encodedHeader = base64url(stringifiedHeader);

// encode data
var stringifiedData = JSON.stringify(data);
var encodedData = base64url(stringifiedData);

// build token
var token = encodedHeader + "." + encodedData;

// sign token
var signatureAlg = require("crypto").createSign("sha256");
signatureAlg.update(token);
var signature = signatureAlg.sign(keyFileContent);
signature = base64url(signature);
var signedToken = token + "." + signature;

console.log(signedToken);

// Verify
var verifier = new nJwt.Verifier();
verifier.setSigningAlgorithm('RS256');
verifier.setSigningKey(pubkey);
verifier.verify(signedToken, function() {
  console.log(arguments);
});

就这样！虽然我不建议从头开始重写crypto
中的sign（）
函数，但它确实很简单。把它交给社区彻底检查过的图书馆，加密是一项非常严肃的工作。
你最终成功地让它工作了吗？我不能在《邮递员》中使用它。Postman拒绝加载base64url和njwt模块，出于某种原因，它加载crypto js Postman的沙箱只允许一些节点模块（crypto js
是唯一与加密相关的模块），这将非常有趣，因为cryptojs不支持RSA。解决了这个问题：私钥中有空格字符。他们需要对密钥进行格式化，并且不带转义空格。这是目前最被低估的答案之一，即使有赏金。）我最终采用了稍微不同的方法来处理PK，使其成为环境设置的一部分（从而避免了从pre-req脚本中剪切它）。