golang使用JWX进行认证和加密

最近看了一个名为go-auth的库,它将JWT作为HTTP cookie对用户进行验证,但这个例子中缺少了对JWT的保护,由此进行了一些针对JWX的研究。

下面描述来自golang-jwt的官方描述:

概述

JWT是一个签名的JSON对象,通常用作Oauth2的Bearer token,JWT包括三个用.分割的部分:前两部分为使用base64url编码的JSON对象,最后一部分是签名。第一部分称为header,包含用于验证最后一部分签名所需的信息,如使用的签名方式和使用的密钥等,中间的部分是程序最关心的部分,称为ClaimRFC 7519定义了相关的字段,当然也可以添加自己的字段。

签名 vs 加密

一个token是一个签名的json对象,涉及两方面的内容:

  • token的创建者拥有签名的secret
  • 数据一旦被签名就不能修改

需要注意的是,JWT并不支持加密,因此任何人都能读取token 的内容。如果需要加密数据,可以使用配套的规范--JWE,可以参考这两个库:lestrrat-go/jwxgolang-jwt/jwe

选择签名方法

签名方法有很多种,在使用前可能需要花时间挑选合适的签名方法,主要考量点为:对称和非对称。

对称签名方法,如HSA,只需要一个secret即可,这也是最简单的签名方法,可以使用任何[]byte作为有效的secret。对称加密的计算速度也相对快一些。当token的生产者和消费者都可信的前提下,可以考虑使用对称加密。由于对称加密使用相同的secret进行token的签名和验证,因此不能轻易将密钥分发出去。

非对称签名,如RSA,则使用了不同的密钥进行签名和token验证,因此可以使用私钥生成token,并允许消费者使用公钥进行验证。

JWT和OAuth

这里提一下,OAuth和JWT并不是一回事,一个JWT token只是一个简单的被签名的JSON对象,可以用在所需要的地方,最常见的方式是用在OAuth2认证中。

下面描述了二者是如何交互的:

  • OAuth是一种允许身份提供者与用户登录的服务分离的协议。例如,你可以使用Facebook登陆不同的服务(Yelp、Spotify等),此时用的就是OAuth。
  • OAuth定义了几种传递身份验证数据的选项,其中流行的一种方式称为"bearer token",一个bearer token就是一个只能被已认证的用户持有的简单字符串,即通过提供该token来进行身份认证。从这里可以看出JWT可以作为一种bearer token。
  • 由于bearer token用于认证,因此私密性很重要,这也是为什么通常会通过SSL来使用bearer token。

JWT的用法

从上面的官方描述中可以看到JWT其实就是一个字符串,其分为三段:header,主要指定签名方法;claim,用于提供用户身份数据;signature,使用header中指定的签名方法进行签名,签名时主要使用了三个基础数据:

  1. 签名密钥:在对称签名(如HMAC)中作为哈希数据的一部分,在非对称签名(如ECDSA)中则作为私钥。在JWT的签名和验证过程中都需要使用到密钥。

  2. JWT的过期时间:JWT有一个过期时间。在用户登陆服务器之后,服务器会给客户端返回JWT,当客户端服务服务端时会将JWT传递给服务端,服务端除了需要验证客户端的签名之外还需要验证该token是否过期,JWT的过期时间数据位于claims中。

  3. claim:主要包含了JWT相关的信息,用户可以扩展自己的claim信息。签名方法会使用这部分信息进行签名。如下是标准的claims,可以看到这部分信息其实与SSL证书中的字段雷同。

    type StandardClaims struct {
    Audience string `json:"aud,omitempty"`
    ExpiresAt int64 `json:"exp,omitempty"`
    Id string `json:"jti,omitempty"`
    IssuedAt int64 `json:"iat,omitempty"`
    Issuer string `json:"iss,omitempty"`
    NotBefore int64 `json:"nbf,omitempty"`
    Subject string `json:"sub,omitempty"`
    }

另外需要注意的是,JWT是使用明文交互的,其中claim中包含了用户的敏感信息,因此需要使用JWE进行加密。

在了解JWT之前可以看下几个重要的术语:

  • JWS(SignedJWT):经过签名的jwt,为三段式结构:headerclaimssignature

  • JWA:签名算法,即 header中的alg字段值。

  • JWE(EncryptedJWT):用于加密payload,如JWT,主要字段如下:

    const (
    AgreementPartyUInfoKey = "apu" #(Algorithm) Header Parameter
    AgreementPartyVInfoKey = "apv"
    AlgorithmKey = "alg" #(Algorithm) Header Parameter
    CompressionKey = "zip" #(Compression Algorithm) Header Parameter
    ContentEncryptionKey = "enc" #(Encryption Algorithm) Header Parameter
    ContentTypeKey = "cty" #(Content Type) Header Parameter
    CriticalKey = "crit" #(Critical) Header Parameter
    EphemeralPublicKeyKey = "epk"
    JWKKey = "jwk" #(JSON Web Key) Header Parameter
    JWKSetURLKey = "jku" #(JWK Set URL) Header Parameter
    KeyIDKey = "kid" #(Key ID) Header Parameter
    TypeKey = "typ" #(Type) Header Parameter
    X509CertChainKey = "x5c" #(X.509 Certificate Chain) Header Parameter
    X509CertThumbprintKey = "x5t" #(X.509 Certificate SHA-1 Thumbprint) Header Parameter
    X509CertThumbprintS256Key = "x5t#S256" #(X.509 Certificate SHA-256 Thumbprint) Header Parameter
    X509URLKey = "x5u" #(X.509 URL) Header Parameter
    )
  • JWK:是一个JSON数据结构,用于JWS的签名验证以及JWE的加解密,主要字段如下:

    const (
    KeyTypeKey = "kty" #(Key Type) Parameter
    KeyUsageKey = "use" #(Public Key Use) Parameter
    KeyOpsKey = "key_ops" #(Key Operations) Parameter
    AlgorithmKey = "alg" #(Algorithm) Parameter
    KeyIDKey = "kid" #(Key ID) Parameter
    X509URLKey = "x5u" #(X.509 URL) Parameter
    X509CertChainKey = "x5c" #(X.509 Certificate Chain) Parameter
    X509CertThumbprintKey = "x5t" #(X.509 Certificate SHA-1 Thumbprint) Parameter
    X509CertThumbprintS256Key = "x5t#S256" #(X.509 Certificate SHA-256 Thumbprint) Parameter
    )

例子

lestrrat-go库中给出了很多例子。在使用该库之前简单看下主要的函数:

  • jwt.NewBuilder:创建一个表示JWT 的结构体(也可以使用jwt.New创建):

    type stdToken struct {
    mu *sync.RWMutex
    dc DecodeCtx // per-object context for decoding
    options TokenOptionSet // per-object option
    audience types.StringList // https://tools.ietf.org/html/rfc7519#section-4.1.3
    expiration *types.NumericDate // https://tools.ietf.org/html/rfc7519#section-4.1.4
    issuedAt *types.NumericDate // https://tools.ietf.org/html/rfc7519#section-4.1.6
    issuer *string // https://tools.ietf.org/html/rfc7519#section-4.1.1
    jwtID *string // https://tools.ietf.org/html/rfc7519#section-4.1.7
    notBefore *types.NumericDate // https://tools.ietf.org/html/rfc7519#section-4.1.5
    subject *string // https://tools.ietf.org/html/rfc7519#section-4.1.2
    privateClaims map[string]interface{} //用户自定义的claims
    }
  • jwt.Sign:用于对JWT 进行签名,输入为表示JWT元素的stdToken,输出为[]byte

  • jwt.Parse:将签名的token解析为stdToken,输入为jwt.Sign的输出。

  • jws.sign:使用字符串来创建JWS消息,入参为[]byte。与jwt.Sign的不同点在于,前者的入参是stdToken标准结构体,而后者是任意字符串。

  • jws.parse:对编码的JWS消息进行解码,输出结构如下:

    type Message struct {
    dc DecodeCtx
    payload []byte
    signatures []*Signature
    b64 bool // true if payload should be base64 encoded
    }
  • jwe.Encrypt:加密payload

  • jwe.Decrypt:解密payload

下面看下如何生成JWT,以及如何结合使用JWE和JWK对其进行加密。

Example 1

下面jwt使用对称方式进行签名/解析,jwe使用非对称方式进行加解密

package main

import (
"crypto/rand"
"crypto/rsa"
"fmt"
"github.com/lestrrat-go/jwx/v2/jwa"
"github.com/lestrrat-go/jwx/v2/jwe"
"github.com/lestrrat-go/jwx/v2/jwk"
"github.com/lestrrat-go/jwx/v2/jws"
"github.com/lestrrat-go/jwx/v2/jwt"
"time"
) func main() {
// 创建一个jwt token结构体
tok, err := jwt.NewBuilder().
Issuer(`github.com/lestrrat-go/jwx`).
IssuedAt(time.Now()).
Build()
if err != nil {
fmt.Printf("failed to build token: %s\n", err)
return
} //创建对称签名的key
key, err := jwk.FromRaw([]byte(`abracadabra`))
if err != nil {
fmt.Printf(`failed to create new symmetric key: %s`, err)
return
}
key.Set(jws.KeyIDKey, `secret-key`)
//使用HS256对称签名方式进行签名,生成JWS
signed, err := jwt.Sign(tok, jwt.WithKey(jwa.HS256, key)) //下面使用jwe对JWS进行加密,使用的是非对称加密方式
//首先生成RSA密钥对
rawprivkey, err := rsa.GenerateKey(rand.Reader, 2048)
if err != nil {
fmt.Printf("failed to create raw private key: %s\n", err)
return
}
//提取私钥,用于解密
privkey, err := jwk.FromRaw(rawprivkey)
if err != nil {
fmt.Printf("failed to create private key: %s\n", err)
return
}
//提取公钥,用于加密
pubkey, err := privkey.PublicKey()
if err != nil {
fmt.Printf("failed to create public key:%s\n", err)
return
}
//使用公钥加密JWS
encrypted, err := jwe.Encrypt(signed, jwe.WithKey(jwa.RSA_OAEP, pubkey))
if err != nil {
fmt.Printf("failed to encrypt payload: %s\n", err)
return
}
//使用私钥解密出JWS
decrypted, err := jwe.Decrypt(encrypted, jwe.WithKey(jwa.RSA_OAEP, privkey))
if err != nil {
fmt.Printf("failed to decrypt payload: %s\n", err)
return
} //使用对称签名方式解析出token 结构体
parsedTok, err := jwt.Parse(decrypted, jwt.WithKey(jwa.HS256, key), jwt.WithValidate(true))
if err != nil {
fmt.Println("failed to parse signed token")
return
}
fmt.Println(parsedTok)
}

Example 2

下面使用非对称方式进行签名/解析:

package main

import (
"crypto/rand"
"crypto/rsa"
"fmt"
"github.com/lestrrat-go/jwx/v2/jwa"
"github.com/lestrrat-go/jwx/v2/jwt"
) func main() {
//创建RSA密钥对
privKey, err := rsa.GenerateKey(rand.Reader, 2048)
if err != nil {
fmt.Printf("failed to generate private key: %s\n", err)
return
} var payload []byte
{ // 创建JWT payload
token := jwt.New()
token.Set(`foo`, `bar`)
//使用RSA私钥进行签名
payload, err = jwt.Sign(token, jwt.WithKey(jwa.RS256, privKey))
if err != nil {
fmt.Printf("failed to generate signed payload: %s\n", err)
return
}
} { // 使用RSA公钥进行解析
token, err := jwt.Parse(
payload,
jwt.WithValidate(true),
jwt.WithKey(jwa.RS256, &privKey.PublicKey),
)
if err != nil {
fmt.Printf("failed to parse JWT token: %s\n", err)
return
} fmt.Println(token)
}
}

Example 3

上面使用的JWK是使用代码生成的,也可以加载本地文件(jwk.ReadFile)或通过JSU的方式从网络上拉取所需的JWK(jwk.Fetch)。

lestrrat-go的官方文档中给出了很多指导。

{
v, err := jwk.ReadFile(`private-key.pem`, jwk.WithPEM(true))
if err != nil {
// handle error
}
} {
v, err := jwk.ReadFile(`public-key.pem`, jwk.WithPEM(true))
if err != nil {
// handle error
}
}
	srv := httptest.NewTLSServer(http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {
w.WriteHeader(http.StatusOK)
fmt.Fprintf(w, `{
"keys": [
{"kty":"EC",
"crv":"P-256",
"x":"MKBCTNIcKUSDii11ySs3526iDZ8AiTo7Tu6KPAqv7D4",
"y":"4Etl6SRW2YiLUrN5vfvVHuhp7x8PxltmWWlbbM4IFyM",
"use":"enc",
"kid":"1"},
{"kty":"RSA",
"n": "0vx7agoebGcQSuuPiLJXZptN9nndrQmbXEps2aiAFbWhM78LhWx4cbbfAAtVT86zwu1RK7aPFFxuhDR1L6tSoc_BJECPebWKRXjBZCiFV4n3oknjhMstn64tZ_2W-5JsGY4Hc5n9yBXArwl93lqt7_RN5w6Cf0h4QyQ5v-65YGjQR0_FDW2QvzqY368QQMicAtaSqzs8KJZgnYb9c7d0zgdAZHzu6qMQvRL5hajrn1n91CbOpbISD08qNLyrdkt-bFTWhAI4vMQFh6WeZu0fM4lFd2NcRwr3XPksINHaQ-G_xBniIqbw0Ls1jF44-csFCur-kEgU8awapJzKnqDKgw",
"e":"AQAB",
"alg":"RS256",
"kid":"2011-04-29"}
]
}`)
}))
defer srv.Close() set, err := jwk.Fetch(
context.Background(),
srv.URL,
// This is necessary because httptest.Server is using a custom certificate
jwk.WithHTTPClient(srv.Client()),
)
if err != nil {
fmt.Printf("failed to fetch JWKS: %s\n", err)
return
}

参考

golang使用JWX进行认证和加密的更多相关文章

  1. 自学Zabbix11.4 Zabbix SNMP认证与加密配置 SNMPv3

    点击返回:自学Zabbix之路 点击返回:自学Zabbix4.0之路 点击返回:自学zabbix集锦 自学Zabbix11.4 Zabbix SNMP认证与加密配置 SNMPv3 1. 增加snmp ...

  2. SNMP学习笔记之SNMPv3的报文格式以及基于USM的认证和加密过程

    下面我们就主要讲解SNMPv3的报文格式以及基于USM的认证和加密过程! 1.SNMPv3的消息格式 如下图1: 图 1 其中,整个SNMPv3消息可以使用认证机制,并对EngineID.Contex ...

  3. 基于gin的golang web开发:认证利器jwt

    JSON Web Token(JWT)是一种很流行的跨域认证解决方案,JWT基于JSON可以在进行验证的同时附带身份信息,对于前后端分离项目很有帮助. eyJhbGciOiJIUzI1NiIsInR5 ...

  4. 如何对tcp流认证并加密

    一个场景:目前越来越多的业务需要远程读写Redis,而Redis 本身不提供 SSL/TLS 的支持,在需要安全访问的环境下. 这时候就需要额外的手段进行加密认证,这里有两种手段:spiped 和 n ...

  5. SNMP学习笔记之SNMPv3报文认证和加密

    下面主要的内容就是SNMPv3的加密和认证过程! USM的定义为实现以下功能: 鉴别 数据加密 密钥管理 时钟同步化 避免延时和重播攻击 1.UsmSecurityParameters(安全参数) 安 ...

  6. [置顶] SNMPv3认证和加密过程

    前面的一些文章详细讲解了SNMPv3的报文内容,下面主要的内容就是SNMPv3的加密和认证过程! USM的定义为实现以下功能: 鉴别 数据加密 密钥管理 时钟同步化 避免延时和重播攻击 1.UsmSe ...

  7. shiro认证+盐加密

    Shiro认证 导入pom依赖 <shiro.version>1.2.5</shiro.version> <!--shiro--> <dependency&g ...

  8. 身份认证与加密浅谈(PKI)

    利用PKI体系解决私密文件传输中一系列问题的大体思路 背景:现有A用户和B用户之间想加密传输一些秘密文件,通过什么样的技术可以确保A和B传输数据的安全性?方案:采用对称秘钥对数据进行加密传输(对称加密 ...

  9. snmp v3的安全配置 snmp认证与加密配置(53)

    http://www.ttlsa.com/zabbix/snmp-v3-configuration/

  10. Golang两种方法实现MD5加密

    package main import ( "crypto/md5" "fmt" "io" ) func main() { str := & ...

随机推荐

  1. 2 c++编程-核心

    ​ 重新系统学习c++语言,并将学习过程中的知识在这里抄录.总结.沉淀.同时希望对刷到的朋友有所帮助,一起加油哦! 本章是继上篇 c++编程-基础 之后的 c++ 编程-核心. 生命就像一朵花,要拼尽 ...

  2. 记录一次PyQt5内存泄漏的问题解决

    前言 前几天利用python-mpv写了一个播放器,但是跑着跑着发现内存越来越大,经过我反复调试终于解决了这个问题. 解决思路 模块定位 首先我是一个模块一个模块测试的,这样可以尽快缩减出问题的代码范 ...

  3. 关于windows上开启远程桌面连接不上的问题解决

    解决办法 启用远程桌面连接(计算机-属性-远程设置) 选择第二个:允许运行任意版本远程桌面 关闭防火墙(或者给远程桌面添加端口3389放行也可以) 创建用户以及密码 这里注意,一定要建立密码,只有账号 ...

  4. day29 jQuery选择器 & jquery属性操作 & jquery DOM元素 操作与遍历

    简介 jQuery,顾名思义,就是javascript和query(查询),即辅助javascript开发的库,本质就是一个js文件: jQuery是一个js函数库,是目前全球范围内最流行.用的最多的 ...

  5. 初始化一个ArrayList的多种方式

    序言 本片文章用于归纳java中初始化一个ArrayList的几种方式 add方法添加 最基础的方式就是我们在new一个ArrayList之后使用add方法添加元素 /** * 第一种方式,通过add ...

  6. SVNAdmin2 - 基于web的SVN管理系统

    1. 介绍 SVNAdmin2 是一款通过图形界面管理服务端SVN的web程序. 正常情况下配置SVN仓库的人员权限需要登录到服务器手动修改 authz 和 passwd 两个文件,当仓库结构和人员权 ...

  7. K8S 核心组件 kubelet 与 kube-proxy 分析

    kubelet kubelet 进程用于处理master 下发的任务, 管理pod 中的容器, 注册 自身所在的节点. 节点管理 启动参数说明 --register-node #如果设置为true 则 ...

  8. python 运算优先级

    python 运算优先级,请见下图

  9. 填坑日志-云网络智慧课堂双网卡Mac地址读取错误的问题及解决

    云网络智慧课堂的双网卡问题记录及解决方案 教师端 其实这里双网卡的问题一直没有解决,分为了两部分,一部分是教师端,一部分是学生端.症状类似,问题也类似,都是在设计之初因为硬件限制可能没有考虑到双网卡的 ...

  10. vue中单独封装elementui中的Dialog弹框组件

    一.在components文件中新建 弹框组件 <template> <div> <el-dialog title="提示" :visible.syn ...