Decodifica e verifica del token JWT utilizzando System.IdentityModel.Tokens.Jwt

Question 1

Ho utilizzato la libreria JWT per decodificare un token Web Json e vorrei passare all'implementazione JWT ufficiale di Microsoft, System.IdentityModel.Tokens.Jwt .

La documentazione è molto scarsa, quindi ho difficoltà a capire come realizzare ciò che ho fatto con la libreria JWT. Con la libreria JWT, esiste un metodo Decode che prende il JWT con codifica base64 e lo trasforma in JSON che può quindi essere deserializzato. Mi piacerebbe fare qualcosa di simile usando System.IdentityModel.Tokens.Jwt, ma dopo un bel po 'di ricerche, non riesco a capire come.

Per quello che vale, sto leggendo il token JWT da un cookie, da utilizzare con il framework di identità di Google.

Qualsiasi aiuto sarebbe apprezzato.

Question 2

All'interno del pacchetto c'è una classe chiamata JwtSecurityTokenHandlerche deriva da System.IdentityModel.Tokens.SecurityTokenHandler. In WIF questa è la classe principale per deserializzare e serializzare i token di sicurezza.

La classe ha un ReadToken(String)metodo che prenderà la stringa JWT codificata in base64 e restituirà un SecurityTokenche rappresenta il JWT.

L' SecurityTokenHandlerha anche un ValidateToken(SecurityToken)metodo che prende la vostra SecurityTokene crea un ReadOnlyCollection<ClaimsIdentity>. Di solito per JWT, questo conterrà un singolo ClaimsIdentityoggetto che ha una serie di attestazioni che rappresentano le proprietà del JWT originale.

JwtSecurityTokenHandlerdefinisce alcuni sovraccarichi aggiuntivi per ValidateToken, in particolare, ha un ClaimsPrincipal ValidateToken(JwtSecurityToken, TokenValidationParameters)sovraccarico. L' TokenValidationParametersargomento consente di specificare il certificato di firma del token (come un elenco di X509SecurityTokens). Ha anche un sovraccarico che prende il JWT come stringun file SecurityToken.

Il codice per farlo è piuttosto complicato, ma può essere trovato nel codice ( TokenValidationHandlerclasse) Global.asax.cx nell'esempio dello sviluppatore chiamato "ADAL - Native App to REST service - Authentication with ACS via Browser Dialog", situato in

http://code.msdn.microsoft.com/AAL-Native-App-to-REST-de57f2cc

In alternativa, la JwtSecurityTokenclasse dispone di metodi aggiuntivi che non si trovano nella SecurityTokenclasse di base , ad esempio una Claimsproprietà che ottiene le attestazioni contenute senza passare attraverso la ClaimsIdentityraccolta. Ha anche una Payloadproprietà che restituisce un JwtPayloadoggetto che ti consente di ottenere il JSON grezzo del token. Dipende dal tuo scenario quale approccio è più appropriato.

La documentazione generale (cioè non specifica di JWT) per la SecurityTokenHandlerclasse si trova in

http://msdn.microsoft.com/en-us/library/system.identitymodel.tokens.securitytokenhandler.aspx

A seconda della tua applicazione, puoi configurare il gestore JWT nella pipeline WIF esattamente come qualsiasi altro gestore.

Ce ne sono 3 esempi in uso in diversi tipi di applicazione su

http://code.msdn.microsoft.com/site/search?f%5B0%5D.Type=SearchText&f%5B0%5D.Value=aal&f%5B1%5D.Type=User&f%5B1%5D.Value=Azure% 20AD% 20Developer% 20Esperienza% 20Team & f% 5B1% 5D.Text = Azure% 20AD% 20Developer% 20Experience% 20Team

Probabilmente, uno soddisferà le tue esigenze o almeno sarà adattabile a loro.

Question 3

Mi chiedo solo perché utilizzare alcune librerie per la decodifica e la verifica dei token JWT.

Il token JWT codificato può essere creato utilizzando il seguente pseudocodice

var headers = base64URLencode(myHeaders);
var claims = base64URLencode(myClaims);
var payload = header + "." + claims;

var signature = base64URLencode(HMACSHA256(payload, secret));

var encodedJWT = payload + "." + signature;

È molto facile fare a meno di una libreria specifica. Utilizzando il seguente codice:

using System;
using System.Text;
using System.Security.Cryptography;

public class Program
{   
    // More info: https://stormpath.com/blog/jwt-the-right-way/
    public static void Main()
    {           
        var header = "{\"typ\":\"JWT\",\"alg\":\"HS256\"}";
        var claims = "{\"sub\":\"1047986\",\"email\":\"jon.doe@eexample.com\",\"given_name\":\"John\",\"family_name\":\"Doe\",\"primarysid\":\"b521a2af99bfdc65e04010ac1d046ff5\",\"iss\":\"http://example.com\",\"aud\":\"myapp\",\"exp\":1460555281,\"nbf\":1457963281}";

        var b64header = Convert.ToBase64String(Encoding.UTF8.GetBytes(header))
            .Replace('+', '-')
            .Replace('/', '_')
            .Replace("=", "");
        var b64claims = Convert.ToBase64String(Encoding.UTF8.GetBytes(claims))
            .Replace('+', '-')
            .Replace('/', '_')
            .Replace("=", "");

        var payload = b64header + "." + b64claims;
        Console.WriteLine("JWT without sig:    " + payload);

        byte[] key = Convert.FromBase64String("mPorwQB8kMDNQeeYO35KOrMMFn6rFVmbIohBphJPnp4=");
        byte[] message = Encoding.UTF8.GetBytes(payload);

        string sig = Convert.ToBase64String(HashHMAC(key, message))
            .Replace('+', '-')
            .Replace('/', '_')
            .Replace("=", "");

        Console.WriteLine("JWT with signature: " + payload + "." + sig);        
    }

    private static byte[] HashHMAC(byte[] key, byte[] message)
    {
        var hash = new HMACSHA256(key);
        return hash.ComputeHash(message);
    }
}

La decodifica del token è la versione invertita del codice sopra. Per verificare la firma, sarà necessario lo stesso e confrontare la parte della firma con la firma calcolata.

AGGIORNAMENTO: Per coloro che stanno lottando su come eseguire la codifica / decodifica urlsafe base64, vedere un'altra domanda SO , e anche wiki e RFC