Lua openssl 实现 EC JWT JWK ES256

已于 2023-10-27 09:26:20 修改
阅读量1.1k 收藏 1
点赞数 1
分类专栏: JWT lua 文章标签: lua
于 2021-10-12 14:49:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JunyeeJunZuo/article/details/120722906
版权
JWT 同时被 2 个专栏收录
2 篇文章 0 订阅
订阅专栏
lua
1 篇文章 0 订阅
订阅专栏

ES256和ECDSA-SHA256签名的区别在于signature的格式不同,ES256只包含R/S,而ECDSA-SHA256是包含了R/S的ASN.1格式的签名,二者可以互相转换,前面一章的Java中,使用了SunEC的ECDSAUtil来完成的。但是Lua中很难能找到对应的工具去解析。本章使用lua-openssl及自定义的es_asn来实现签名格式转换。

lua-openssl可以使用luarocks安装,还请注意兼容的lua版本,本文采用的lua 5.3.5版本,兼容lua-openssl-0.8.5-1。

lua-openssl Github地址:https://github.com/zhaozg/lua-openssl

lua-openssl Luarocks地址:https://luarocks.org/modules/zhaozg/openssl

注意:lua-openssl不同版本所依赖的lua版本是不一样的,需下载兼容的版本,如果lua版本过于超前,需要降低lua版本。

首先给出一个Lua的ES256签名格式转换工具

local ec_asn = {}
ec_asn.__index = ec_asn

function ec_asn.convert_to_concat(signature)
    if type(signature) ~= "string" then
        error("The signature #1 type error! ", 2)
    elseif #signature < 8 or string.byte(signature, 1) ~= 0x30 then
        error("Invalid ASN.1 format of ECDSA signature", 2)
    end

    local offset = string.byte(signature, 2) == 0x81 and 4 or 3
    local rLength = string.byte(signature, offset + 1)
    local i = rLength
    while i > 0 and string.byte(signature, offset + 2 + rLength - i) == 0 do
        i = i - 1
    end

    local sLength = string.byte(signature, offset + 2 + rLength + 1)

    local j = sLength
    while j > 0 and string.byte(signature, offset + 2 + rLength + 2 + sLength - j) == 0 do
        j = j - 1
    end
    local rawLen = math.max(i, j)

    local seq = {}
    seq[1] = string.rep("\x00", rawLen - i) .. string.sub(signature, offset + 2 + rLength - i, offset + 2 + rLength - 1)
    seq[2] =
        string.rep("\x00", rawLen - j) ..
        string.sub(signature, offset + 2 + rLength + 2 + sLength - j, offset + 2 + rLength + 2 + sLength - 1)
    return seq
end

function ec_asn.convert_to_asn(esSignature)
    if type(esSignature) ~= "string" then
        error("The signature #1 must be string", 2)
    end
    local rawLen = math.floor(#esSignature / 2)
    local i = rawLen
    while i > 0 and string.byte(esSignature, rawLen - i + 1) == 0 do
        i = i - 1
    end
    local j = string.byte(esSignature, rawLen - i + 1) > 0x80 and i + 1 or i
    local k = rawLen
    while k > 0 and string.byte(esSignature, 2 * rawLen - k + 1) == 0 do
        k = k - 1
    end

    local l = string.byte(esSignature, 2 * rawLen - k + 1) > 0x80 and k + 1 or k

    local len = 2 + j + 2 + l
    if len > 255 then
        error("Invalid ES format of ECDSA signature", 2)
    end

    local signature =
        "\x30" ..
        (len > 128 and "\x81" or "") ..
            string.char(len) ..
                "\x02" ..
                    string.char(j) ..
                        string.rep("\x00", j - i) ..
                            string.sub(esSignature, rawLen - i + 1, rawLen) ..
                                "\x02" ..
                                    string.char(l) ..
                                        string.rep("\x00", l - k) ..
                                            string.sub(esSignature, 2 * rawLen - k + 1, 2 * rawLen)
    return signature
end

return ec_asn

顺便给出openssl的代码示例ecc_sign:

local cjson = require 'cjson'
local openssl = require 'openssl'
local uuid = require "uuid"
local base64_url = require 'util/base64_url'
local pkey = openssl.pkey
local now = os.time();
uuid.randomseed(now)

local ec_asn = require 'util/ec_asn'

local header = {
    alg = 'ES256',
    kid = 'b1e0953c-827a-448d-ae73-e920e0c6c735'
}
local data = {
    iss = "http://junyee.org",
    typ = "TOKEN",
    aud = "junyee.org",
    exp = now+360*24*3600,
    jti = uuid(),
    iat = now
  }

local segments = {
    base64_url.encode(cjson.encode(header)),
    base64_url.encode(cjson.encode(data))
}
local content = table.concat(segments, ".")

local factor = {
    alg = "ec",
    -- NID 415 is prime256v1
    ec_name = 415,
    d = assert(base64_url.decode('ALds0XN06VCrIaxG-WMiosWWgD7DrocR4SCH5ckC-901')),
    x = assert(base64_url.decode('Ek7imKhgJDJUnKTEq0n8-Mi16H-qVfSesbQj2C4_bf8')),
    y = assert(base64_url.decode('Bww57PhQpcOOunOIG595yJ-MV55xewZC2nLYwFotEmA'))
  }

  -- Generate an ecc private key
  local pk = pkey.new(factor)
  local signsource = pk:sign(content,"SHA256")

  local derSequence2 = ec_asn.convert_to_concat(signsource)
  
  segments[#segments+1] = base64_url.encode(derSequence2[1] .. derSequence2[2])
  print(table.concat(segments, "."))

ECC的verify

local openssl = require 'openssl'
local ec_asn = require 'util/ec_asn'

local base64_url = require 'util/base64_url'
local pkey = openssl.pkey
local sub = string.sub

local function verify()
  local factor = {
    alg = "ec",
    -- NID 415 is prime256v1 of openssl
    ec_name = 415,
    x = assert(base64_url.decode('Ek7imKhgJDJUnKTEq0n8-Mi16H-qVfSesbQj2C4_bf8')),
    y = assert(base64_url.decode('Bww57PhQpcOOunOIG595yJ-MV55xewZC2nLYwFotEmA'))
  }
  local ec = pkey.new(factor)
  -- local pem = assert(ec:export('pem'))
  -- print(pem)
  local content = 'eyJhbGciOiJFUzI1NiIsImtpZCI6ImIxZTA5NTNjLTgyN2EtNDQ4ZC1hZTczLWU5MjBlMGM2YzczNSJ9.eyJ0eXAiOiJUT0tFTiIsImF1ZCI6Imp1bnllZS5vcmciLCJleHAiOjE2NjUxMjM4MDQsImp0aSI6ImE1YTJjMWU0LTg1NGMtNGM3ZC05MTg4LTc4MTk5NjA2YTYzOSIsImlhdCI6MTYzNDAxOTgwNCwiaXNzIjoiaHR0cDpcL1wvanVueWVlLm9yZyJ9'
  local signature = base64_url.decode('i32GXFY3-DU1C5y4TkrxONb7cKMYUNCJ34Y_BT6fnSuTluLsfZ8ROS4xGmQ1X78_yzRUY0VoSOiue6qyc3w8RA')
  assert(#signature == 64, "Signature must be 64 bytes.")
  local signatureAsn2 = ec_asn.convert_to_asn(signature)
  print('Verify Signature2:',ec:verify(content, signatureAsn2, 'SHA256'))
end
verify()

补充一套JWKS的生成代码

local openssl = require 'openssl'
local uuid = require "uuid"
local base64_url = require 'util/base64_url'
uuid.randomseed(os.time())
local pkey = openssl.pkey
local ec_factory = {'ec',  'prime256v1'};
local jwks_option = {enable_private=false,jwks_length=3,raw=true}
local es256_jwks = {}

function set_option(opt)
    opt = opt or {}
    assert(not opt.jwks_length or opt.jwks_length>0,"opt.jwks_length must gt 0")
    local option = {}
    option.enable_private = opt.enable_private or jwks_option.enable_private
    option.jwks_length = opt.jwks_length or jwks_option.jwks_length
    option.raw = opt.raw==nil and jwks_option.raw or opt.raw
    return option
end

function es256_jwks:new(opt)
    local _instance = {}
    setmetatable(_instance, self)
    self.__index = self
    _instance.option = set_option(opt)
    return _instance
end

function es256_jwks:to_jwks()
    local keys = {} 
    local metadata = {}
    for i = 1,self.option.jwks_length do 
        local kid = uuid()
        local pk = assert(pkey.new(table.unpack(ec_factory)))
        local pubkey = pk:get_public()
       
        local t = pk:parse()
        local ec = t.ec
        t = ec:parse('pem')
        metadata[kid] = {
            public_key = pubkey:export("pem", self.option.raw),
            private_key = pk:export("pem", self.option.raw),
            d = base64_url.encode(t.d:totext()),
            x = base64_url.encode(t.x:totext()),
            y = base64_url.encode(t.y:totext())
        }
        local x,y = metadata[kid].x,metadata[kid].y
        local d = self.option.enable_private and '"d":"' .. metadata[kid].d ..'",' or ''
        keys[i] = '{"kty":"EC","use":"sig","crv":"P-256","kid":"'.. kid ..'",'.. d ..'"x":"'.. x ..'","y":"'.. y ..'"}'
    end
    return '{"keys":['.. table.concat(keys,',')..']}', metadata
end
return es256_jwks

Base64 url safe 工具

local openssl = require "openssl"
local _M = {}
_M.__index = _M

function  _M.encode(input)
    local encoder = openssl.base64(input,true)
    encoder = encoder:gsub("+", "-"):gsub("/", "_"):gsub("=","")
    return encoder
  end 
  
function _M.decode(input)
    local remainder = #input % 4
    if remainder > 0 then
      local padlen = 4 - remainder
      input = input .. string.rep("=", padlen)
    end
    input = input:gsub("-", "+"):gsub("_", "/")
    return openssl.base64(input,false)
  end

return _M

JWKS测试

local es256_jwks = require 'es256/es256_jwks'
local cjson = require 'cjson'

-- enbale_private : Is print private key named 'd' in jwks json string.
-- jwks_length : jwks keys length.
local jwks = es256_jwks:new({enable_private=false,jwks_length=3,raw=true})
local jwks_json,metadata = jwks:to_jwks()

-- jwks url json string
print(jwks_json)

-- jwks private key and public key
for i,v in pairs(metadata) do
    print('kid: ',i)
    print(cjson.encode(v))
end

车联网服务端架构
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
lua-openssl:用于LuaOpenssl绑定
01-30
lua-openssl:用于LuaOpenssl绑定
SHA-256算法实现
热门推荐
随心散人专栏
12-18 9万+
转载来自于 《基于FPGA的SHA-256算法实现》和 http://www.cnblogs.com/tofixer/p/3498048.html SHA-256 算法输入报文的最大长度不超过2^64 bit,输入按512-bit 分组进行处理,产生  的输出是一个256-bit 的报文摘要。该算法处理包括以下几步:  STEP1:附加填充比特。对报文进行填充使报文长度与448 模5
LuatOS-SOC接口文档(air780E)--crypto - 加解密和hash函数
l531798151的博客
09-19 555
CRC16模式(”IBM”,”MAXIM”,”USB”,”MODBUS”,”CCITT”,”CCITT-FALSE”,”X25”,”XMODEM”,”DNP”,”USER-DEFINED”)算法名称, 例如 AES-128-ECB/AES-128-CBC, 可查阅crypto.cipher_list()算法名称, 例如 AES-128-ECB/AES-128-CBC, 可查阅crypto.cipher_list()hash类型, 大小字母, 例如 “MD5” “SHA1” “SHA256”
openresty luarocks 安装以及openssl 问题处理
weixin_34191845的博客
11-15 592
  1. 安装方式 wget https://luarocks.github.io/luarocks/releases/luarocks-2.4.3.tar.gz tar -xzvf luarocks-2.4.3.tar.gz cd luarocks-2.4.3 ./configure --prefix=/usr/local/openresty/luajit \ --wit...
Windows下一些三方库的编译以及使用(openssl,lua,curl,boost)
骑着蜗牛找马儿
10-29 3032
windows常用三方库的编译以及使用,比如opensslluabind,boost,curl
JWT实现ES256加密生成token
迷途小书童的博客
01-05 2377
JWT实现ES256加密生成token
lua调用C语言so动态库--以openssl证书检查为例
focus on security
09-06 1166
需求 由于lua没有openss sdk做证书检查校验工作,那么就需要我们基于c语言和openssl库些一个so动态库,以供lua调用去判断证书有效时间、合法性、证书签发者信息等。 c函数从lua获取参数 与lua交互的c函数,所有函数入参参数固定为lua_State *L。 在lua调用c函数时,通过lua_State *L向其传入参数,如果只有一个参数且类型为string,那么在c函数中通过lua_tostring(L,1),获取传来的一个string类型的参数。 若lua向c函数传参时..
Java SunEC实现JWT JWK ES256 导入导出PEM
JunyeeJunZuo的博客
10-11 1923
Java实现基于EC非对称加密,签名算法及实现ES256/ES512等JWT签名算法的大多使用BC(BouncyCastle)来实现。闲着无聊就用JDK自带的SunEC实现了这些,请忽略英文注释。这文章主要用来记一下ES/PEM用java SunEC怎么写的。免的以后找不到 同时支持PKCS8格式的openssl pem的导入导出,工程是基于Spring Boot的,主要是想用它的一些工具类,当然可以不用spring boot,将其中的工具类换成其他的,也可以自己写。 不废话,代码如下: 首先给
lua sha256算法函数封装
xiejunna的博客
03-09 7137
module(..., package.seeall)--sha256算法 function sha256(str) local resty_sha256 = require "resty.sha256" local restystr= require "resty.string" local sha256 = resty_sha256:new() sha256:up
使用es256算法生成jwt
夏微凉秋微暖的博客
12-08 616
使用es256算法生成jwt
Lua中文教程,高清PDF文档
03-31
Lua中文教程,高清PDF文档,官方发布
lua-resty-jwtJWT为伟大的Openresty
02-03
lua-resty-jwtJWT为伟大的Openresty
lua语言实现jwt源文件
01-17
资源为lua语言调用jwt实现token验证的源文件,里面文件包括四个文件: evp.lua hmac.lua jwt-validators.lua jwt.lua 在你使用openresty的时候,需要调用jwt进行token操作,需要将这个四个文件拷贝到/usr/local/...
nginx、luajwt安装包及蓝绿发布代码
02-28
nginx安装luajwt模块,通过lua验证jwt实现蓝绿发布样例demo,配置直接可用 luajit2-2.1-20220411.tar.gz #luajit官网存在一定的坑,下载openresty的优化版本 lua-nginx-module-0.10.22.tar.gz # 0.10.16 以后都...
lua openssl相关
11-13
lua openssl相关
java Swagger 配置技巧
iOS逆向与安全
04-29 734
enableSwagger2:是springfox提供的一个注解,代表swagger2相关技术开启,会扫描当前类所在包,以及子包中所有的类型中的注解,做swagger文档的定值。spring-fox利用自身AOP特性,把swagger集成进来,底层还是Swagger,但是使用起来却方便很多,所以在实际开发中,都是直接使用spring-fox。swagger的使用: 使用swagger就是把相关信息存储在它定义的描述文件里面(yml或json格式),再通过维护这个描述文件去更新接口文档,以及生成各端代码。
为何软件IT行业重视创新而不是稳定?
cfy_banq的博客
04-30 612
我给年轻程序员的建议是,如果你想创建自己的编程语言,那么不要试图创建 Python 的子集,或者与现有语言表面上非常接近的语言。这样,您就可以按照自己的节奏和方向发展您的系统,而不会被您的语言必须与其他实现的性能、功能集或库生态系统相匹配的期望所束缚。作者认为,试图创建一个比经典实现更好的替代方案是一条艰难的道路,因为替代方案受制于经典项目设定的方向。替代实现的挑战:作者指出,作为主流或典型系统的替代实现往往是一个失败的命题。不幸的是,密码学 API 别无选择,只能随着缺陷的发现和修复而不断发展。
【Redis 开发】Lua语言
weixin_62513677的博客
04-29 549
Lua是一种小巧的脚本语言,底层用C语言实现,为了嵌入式应用程序中。官网:https://www.lua.org/例如:定义一个函数,用来打印数组。函数测试变量的或值的数据类型。
OpenResty 安装及lua-resty-redis
最新发布
小小的木头人的博客
04-30 352
目的:需要记录用户真实IP + 访问量可以查看configure 可选参数说明:安装模块主要用于记录关键信息,例如:ip和访问次数。
nginx elasticsearch lua
11-23
Nginx是一款开源的高性能的HTTP和反向代理服务器,它还可以用作邮件代理服务器和通用TCP/UDP代理服务器。它可以通过插件模块扩展功能,其中包括Lua模块。 Elasticsearch是一个基于Lucene的开源搜索引擎,它能够提供实时的搜索和分析功能。它使用JSON格式存储数据,并提供RESTful API进行数据查询和操作。 Lua是一种轻量级、高效的脚本语言,它通常用于扩展和定制各种应用程序。在Nginx中,Lua模块可以让用户编写Lua脚本来扩展Nginx的功能,比如通过Lua脚本实现自定义的请求处理逻辑。 将这三个技术结合起来使用,可以实现很多有趣的功能。比如可以使用Nginx作为反向代理服务器,将请求转发给Elasticsearch进行搜索和分析,同时可以利用Lua脚本来定制Nginx的行为,比如进行请求的过滤和重定向。 总的来说,Nginx、Elasticsearch和Lua的结合可以为我们的网络架构提供更高效、灵活的解决方案,让我们能够更好地满足复杂的需求。同时也展示了开源技术的强大和灵活性,为我们提供了更多的可能性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

车联网服务端架构

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值