IdentityServer4之JWT签名(RSA加密证书)及验签

最新推荐文章于 2023-12-14 21:16:59 发布
最新推荐文章于 2023-12-14 21:16:59 发布
阅读量472 收藏 2
点赞数
文章标签: 区块链 数据结构与算法 运维
原文链接:https://yq.aliyun.com/articles/686276
版权

一、前言

 在IdentityServer4中有两种令牌,一个是JWT和Reference Token,在IDS4中默认用的是JWT,那么这两者有什么区别呢?

 

二、JWT与Reference Token的区别

 1、JWT(不可撤回)  

  JWT是一个非常轻巧的规范,一般被用来在身份提供者和服务提供者间传递安全可靠的信息。JWT令牌是一个自包含的访问令牌 - 它是一个带有声明和过期的受保护数据结构。一旦API了解了密钥材料,它就可以验证自包含的令牌,而无需与发行者进行通信。这使得JWT难以撤销。它们将一直有效,直到它们过期。

  JWT常被用于前后端分离,可以和 Restful API 配合使用,常用于构建身份认证机制,一个 JWT 实际上就是一个字符串,它包含了使用.分隔的三部分: Header 头部 Payload 负载 Signature 签名(格式:Header.Payload.Signature)

在这个三个部分中最关键的就是signature。

  signature:被用来确认JWT信息的发送者是谁,并保证信息没有被篡改,使用header中指定的算法将编码后的header、编码后的payload、一个secret进行加密。因此签名算法推荐使用RSA或ECDSA非对称加密算法。

JWT特点:

  A、JWT 默认是不加密,但也是可以加密的。生成原始 Token 以后,可以用密钥再加密一次。

  B、为了减少盗用,JWT 不应该使用 HTTP 协议明码传输,要使用 HTTPS 协议传输

  C、jwt去中心化的思想:api资源收到第一个请求之后,会去id4服务器获取公钥,然后用公钥验证token是否合法,如果合法进行后面的有效性验证。有且只有第一个请求才会去id4服务器请求公钥,后面的请求都会用第一次请求的公钥来验证,这也是jwt去中心化验证的思想。(注:如果签名证书发生改变则需要重启有请求ids4服务器的资源服务器。)

  D、JWT 本身包含了认证信息,一旦泄露,任何人都可以获得该令牌的所有权限。为了减少盗用,JWT 的有效期应该设置得比较短。对于一些比较重要的权限,使用时应该再次对用户进行认证。

 

2、Reference Token(不携带任何用户数据,可撤回)

  当使用 Reference token 的时候,服务端会对 Token 进行持久化,当客户端请求资源端(API)的时候,资源端需要每次都去服务端通信去验证 Token 的合法性[/connect/introspect],IdentityServer4.AccessTokenValidation 中间件中可以配置缓存一定的时候去验证,并且 Token 是支持撤销[/connect/revocation]的。

  使用引用令牌时 - IdentityServer会将令牌的内容存储在数据存储中,并且只会将此令牌的唯一标识符发回给客户端。接收此引用的API必须打开与IdentityServer的反向通道通信以验证令牌。如下:access_token就是唯一标识。(注不携带任何数据)

 

   当 AccessTokenType 定义为 Reference 的时候,验证资源端要注意配置 ApiSecrets 以确保 POST /connect/introspect HTTP/1.1 接口能验证通过,当 AccessTokenType 定义为 Jwt 的时候则资源端可不配置 options.ApiSecret 选项。如下图:

 

Reference Token官方图如下:

 以上就是JWT与Reference token的区别。为了减少访问中心服务器的资源,使用JWT还是非常棒的,毕竟与服务器交互的资源还是非常的昂贵的。不过具体的还得视实际情况而定。

那么我们来看一下在IDS4中API使用JWT以及Reference Token的交互流程图

 

三、IDS4中API使用JWT以及Reference Token与认证中心的交互流程图

此图为:JWT,当然大家可以通过fiddler 抓包工具来查看一下具体的数据流就能明白其中的道理。

注:资源服务器在第一次解析AccessToken的时候会先到授权服务器获取配置数据(例如会访问:http://localhost:5000/.well-known/openid-configuration 获取配置的,http://localhost:5000/.well-known/openid-configuration/jwks 获取jwks)),之后解析AccessToken都会使用第一次获取到的配置数据,因此如果授权服务的配置更改了(加密证书等等修改了),那么应该重启资源服务器使之重新获取新的配置数据;

 

 此图为:Reference Token

 以上即JWT与Reference Token 流程图。

四、JWT中使用RSA加密

在说明JWT使用RSA加密之前我们先来比较一下其他的加密算法

1、HS256与RS256的区别

  HS256 使用密钥生成固定的签名,RS256 使用成非对称进行签名。简单地说,HS256 必须与任何想要验证 JWT的 客户端或 API 共享秘密。即 如下图

 

  RS256 生成非对称签名,这意味着必须使用私钥来签签名 JWT,并且必须使用对应的公钥来验证签名。与对称算法不同,使用 RS256 可以保证服务端是 JWT 的签名者,因为服务端是唯一拥有私钥的一方。这样做将不再需要在许多应用程序之间共享私钥


2、创建自签名证书(操作步骤)

  生产环境(负载集群)一般需要使用固定的证书签名与验签,以确保重启服务端或负载的时候 Token 都能验签通过。(不使用临时证书)

那么证书如何生成请看下面分解步骤:

  第一种:使用OpenSSL生成证书,注:RSA加密证书长度要2048以上,否则服务运行会抛异常

#Linux系统生成证书:(推荐使用)
sudo yum install openssl (CentOS)

#生成私钥文件
openssl genrsa -out idsrv4.key 2048


#创建证书签名请求文件 CSR(Certificate Signing Request),用于提交给证书颁发机构(即 Certification Authority (CA))即对证书签名,申请一个数字证书。
openssl req -new -key idsrv4.key -out idsrv4.csr 

#生成自签名证书(证书颁发机构(CA)签名后的证书,因为自己做测试那么证书的申请机构和颁发机构都是自己,crt 证书包含持有人的信息,持有人的公钥,以及签署者的签名等信息。当用户安装了证书之后,便意味着信任了这份证书,同时拥有了其中的公钥。)
openssl x509 -req -days 365 -in idsrv4.csr -signkey idsrv4.key -out idsrv4.crt (包含公钥)

#自签名证书与私匙合并成一个文件(注:.pfx中可以加密码保护,所以相对安全些)
openssl pkcs12 -export -in idsrv4.crt -inkey idsrv4.key -out idsrv4.pfx (注:在生成的过程中会让我们输入Export Password)

 

 证书截图如下:

 

  第二种:

openssl req -newkey rsa:2048 -nodes -keyout idsrv4.key -x509 -days 365 -out idsrv4.cer
openssl pkcs12 -export -in idsrv4.cer -inkey idsrv4.key -out idsrv4.pfx

 

生成如下:

 

3、证书生成之后就可进入VS2017中配置

拷贝生成的证书,放到认证/授权服务器项目中。(VS中配置文件设置文件始终复制),最后把证书路径和密码配置到 IdentityServer 中,因为我们自签名的证书是 PKCS12 (个人数字证书标准,Public Key Cryptography Standards #12) 标准包含私钥与公钥)标准,包含了公钥和私钥。

 A、在appsetting.json 配置文件中添加如下:此处需要配置password,自定义即可。

 

B、在starup.cs中ConfigureServices方法中配置如下即可。

 

配置完后即可。我们启动IDS4项目即可生成加密的token。

 

将得到的token在jwt.io 网站来认证一下:把后缀为 crt 公钥、key私钥复制到验证中,发现认证ok。这样即可实现防篡改。

 

 

五、总结

在实际环境中应该使用加密的token,而不应该使用临时令牌。以及尽量设置token的过期时间短,以及刷新token的机制,这样可以尽可能的保护token以及数据安全。

 

asp.net core 交流群:787464275 欢迎加群交流
如果您认为这篇文章还不错或者有所收获,您可以点击右下角的【推荐】按钮精神支持,因为这种支持是我继续写作,分享的最大动力!

作者:LouieGuo
声明:原创博客请在转载时保留原文链接或者在文章开头加上本人博客地址,如发现错误,欢迎批评指正。凡是转载于本人的文章,不能设置打赏功能,如有特殊需求请与本人联系!

微信公众号:欢迎关注                                                 QQ技术交流群: 欢迎加群

                

LouieGuo
weixin_34395205
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
identityserver4+jwt 客户端模式
06-17
.net core 微服务 独立...dotnet new -i IdentityServer4.Templates dotnet new is4inmem --name Idp NuGet安装:Microsoft.AspNetCore.Authentication.JwtBearer NuGet安装:IdentityServer4.AccessTokenValidation
无状态单点登录方案--jwt+rsa
LC的博客
01-11 3117
无状态单点登录方案–jwt+rsa思路: jwt(token格式)+RSA(非对称对token进行加密)+rsa(生成公、私钥;私钥加密,公钥解密) 分布式认证流程分为两种: 有状态登录:服务器需要存储token 无状态登录:服务器不用存储token #无状态登录的流程: 当客户端第一次请求服务时,服务端对用户进行信息认证(登录) 认证通过,将用户信息进行加密形成token,返回给客户端,作为登录凭证 以后每次请求,客户端都携带认证的token 服务的对token进行解密,判断是否有效。 流程图: 整
无状态认证 JWT+RSA鉴权
weixin_45262834的博客
03-17 786
JWT+RSA鉴权使用场景一, 有状态认证及无状态认证的区别有状态认证:无状态认证:二、JWT什么是jwtJWT格式的三部分数据:三、RSA加密算法(1)JWT+HS256算法:jwt + RSA非对称加密登录和鉴权流程:总结: 使用场景 当我们将网站部署在多台服务器时 ,使用传统的登录认证(有状态认证),当我们在A服务器 记录登录信息,但访问另一台服务器时,反而需要重新授权,引出了cookie的共享的问题。 一, 有状态认证及无状态认证的区别 有状态认证: 有状态认证,服务端需要记录每次会话的客户端
JWT 介绍和使用,对称加密,非对称加密RSA, Tocken
weixin_44917365的博客
04-06 1642
有状态登录:服务器当中记录每一次的登录信息,从而根据客户端发送的数据来判断登录过来的用户是否合法。无状态登录:服务器当中不记录用户的登录信息,而是将登录成功后的合法用户信息以token方式保存到客户端当中,用户每次请求都携带token信息。
JwtRsa使用
weixin_41245089的博客
03-05 8829
1.jwt和使用Rsa加密JWT的token包含三部分数据: Header:头部,通常头部有两部分信息: - 声明类型type,这里是JWT(type=jwt) - 加密算法,自定义(rs256/base64/hs256) 我们会对头部进...
JWT使用RSA加解密
底层码农
08-07 4379
JWT使用RSA加解密
基于.net4.0实现IdentityServer4客户端JWT解密
10-17
主要为大家详细介绍了基于.net4.0实现IdentityServer4客户端JWT解密,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
新版前后端接口安全技术JWT+RSA加密
06-18
- 老版本只使用jwt进行加密的弊端? ? ? ? ? ? ?- 授权中心的授权流程? ? ? ? ? ? ?- 如何整合网关组件实现jwt安全验证? ? ? ? ? ? ?- 理解什么是公钥什么是私钥 ? ? ?- 深刻理解授权流程什么是有状态? 有状态服务,...
【ASP.NET编程知识】基于.net4.0实现IdentityServer4客户端JWT解密.docx
05-21
【ASP.NET编程知识】基于.net4.0实现IdentityServer4客户端JWT解密.docx
JWT+RSA 无状态SSO原理
worn_xiao的博客
10-11 618
1.1.有状态登陆 有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如tomcat中的session。 例如登录:用户登录后,我们把登录者的信息保存在服务端session中,并且给用户一个cookie值,记录对应的session。然后下次请求,用户携带cookie值来,我们就能识别到对应session,从而找到用户的信息。 服务端保存大量数据,增加服务端压力 服务端保存用户状态,无法进行水平扩展 客户端请求依赖服务端,多次请求必须访问
【微服务JWT】使用RSA工具生成公钥和私钥(第一部分)
最新发布
weixin_64941496的博客
12-14 766
RSA公开密钥密码体制是一种使用不同的加密密钥与解密密钥,“由已知加密密钥推导出解密密钥在计算上是不可逆的”密码体制。在公开密钥密码体制中,加密密钥(即公开密钥)PK是公开信息,而解密密钥(即秘密密钥)SK是需要保密的。加密算法E和解密算法D也都是公开的。虽然解密密钥SK是由公开密钥PK决定的,但却不能根据PK计算出SK [2]。RSA加密:非对称加密。同时生产一对秘钥:公钥和私钥。公钥秘钥:用于加密私钥秘钥:用于解密既然是加密,那肯定是不希望别人知道我的消息,所以只有我才能解密,所以可得出。
如何使用 RSA 加密 JWT
天行健,君子以自强不息;地势坤,君子以厚德载物。
08-19 1476
引入nimbus-jose-jwt<dependency> <groupId>com.nimbusds</groupId> <artifactId>nimbus-jose-jwt</artifactId> <version>9.23</version> </depende...
IdentityServer4深入使用(三)-- Jwt
一只小鹰
03-24 1581
原文地址:https://www.jeremyjone.com/793/,转载请注明。 写在之前 更多学习内容,可以看我的 .NET 学习之路系列-Jwt。 什么是 JWT Jwt,Json Web Token 是一个开放标准(RFC 7519),它定义了一种紧凑且独立的方法,用于在各方之间安全地将信息作为 JSON 对象传输。由于此信息是经过数字签名的,因此可以被验证和信任。可以使用密码(使用 HMAC 算法)或使用 RSA 或 ECDSA 的公钥/私钥对对 JWT 进行签名。 基于 Token 的鉴权
JWT认证与IdentityServer4的理解和定义
mc_ChenF_B的博客
09-02 401
它基于OAuth2.0和OpenID Connect标准实现,支持多种认证方式,例如:用户名/密码、社交媒体登录、外部身份提供方等。虽然JWTIdentityServer4都用于身份认证和授权,但它们的应用场景和功能不同。而IdentityServer4更适合于多应用场景,例如,公司内部多应用系统集成、跨组织身份认证等。JWT具有轻便、可扩展、方便传输等优点,被广泛应用于网络身份认证和授权中。JWT认证和IdentityServer4都是用于身份认证和授权的工具。
生成JWTRSA非对称加密秘钥
qq_41853447的博客
04-25 2862
生成JWTRSA非对称加密秘钥 非对称加密算法需要两个密钥:公开密钥(publickey:简称公钥)和私有密钥(privatekey:简称私钥)。公钥与私钥是一对,如果用私钥对数据进行加密,只有用对应的公钥才能解密。 文件使用JDK自带的 keytool工具生成。 一、生成秘钥证书 首先看一下 keytool命令下的参数。 需要查询某个命令下的参数,可以在该命令后面添加 -h查询。例如:查询...
SpringBoot(七):JWTRsa非对称加密
千里之行,始于足下
05-06 1646
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519)。该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密
乐优商城授权中心(登陆相关)
weixin_46046477的博客
10-24 562
1.无状态登录原理 1.1.什么是有状态? 有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如tomcat中的session。 例如登录:用户登录后,我们把登录者的信息保存在服务端session中,并且给用户一个cookie值,记录对应的session。然后下次请求,用户携带cookie值来,我们就能识别到对应session,从而找到用户的信息。 缺点是什么? 服务端保存大量数据,增加服务端压力 服务端保存用户状态,无法进行水平扩展 客户端请求依
SpringCloud(15) JWT生成密钥证书jwt.jks
郑清
06-13 4255
SpringCloud JWT Keytool生成密钥证书jwt.jks & 获取jks文件的公钥
JWT+RSA无状态鉴权基本原理与使用
沙滩上的拖鞋
02-26 7199
JWT+RSA无状态鉴权基本原理与使用1.无状态登录原理1.1 什么是无状态?2 JWT2.1简介2.2数据格式2.3JWT交互流程2.4.非对称加密3 使用3.1使用JWT 1.无状态登录原理 1.1 什么是无状态? 1.1.1有状态服务:即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如tomcat中的session。 例如登录:用户登录后,我们...
嵌入式C语言怎样用RS256签名编写JWT加密
03-30
JWT(JSON Web Token)是一种用于安全通信的开放标准,它使用JSON格式对数据进行加密签名。在嵌入式系统中,我们可以使用RS256算法对JWT进行签名,以保证数据的安全性。 下面是一个使用C语言编写JWT加密并使用RS256算法签名的示例代码: ```c #include <stdio.h> #include <stdlib.h> #include <string.h> #include <jwt.h> #include <openssl/rsa.h> #include <openssl/pem.h> int main() { // 生成RSA密钥对 RSA *rsa = RSA_generate_key(2048, RSA_F4, NULL, NULL); if (!rsa) { printf("Failed to generate RSA key pair.\n"); return -1; } // 从RSA密钥对中提取公钥和私钥 EVP_PKEY *private_key = EVP_PKEY_new(); if (!private_key) { printf("Failed to create private key.\n"); return -1; } if (!EVP_PKEY_assign_RSA(private_key, rsa)) { printf("Failed to assign RSA key to private key.\n"); return -1; } EVP_PKEY *public_key = EVP_PKEY_new(); if (!public_key) { printf("Failed to create public key.\n"); return -1; } if (!EVP_PKEY_assign_RSA(public_key, rsa)) { printf("Failed to assign RSA key to public key.\n"); return -1; } // 创建JWT头部 jwt_header_t header = { "RS256", "JWT" }; char *header_json = jwt_encode_header(&header); if (!header_json) { printf("Failed to encode JWT header.\n"); return -1; } // 创建JWT负载 jwt_claim_t payload[3] = { { "sub", "1234567890" }, { "name", "John Doe" }, { "iat", (int)time(NULL) } }; char *payload_json = jwt_encode_claims(payload, 3); if (!payload_json) { printf("Failed to encode JWT payload.\n"); return -1; } // 对JWT进行签名 char *signature = NULL; size_t signature_len = 0; if (jwt_sign(&header, header_json, payload_json, strlen(payload_json), private_key, &signature, &signature_len) != 0) { printf("Failed to sign JWT.\n"); return -1; } // 创建完整的JWT字符串 char *jwt = jwt_encode_jwt(header_json, payload_json, signature, signature_len); if (!jwt) { printf("Failed to encode JWT.\n"); return -1; } // 验证JWT签名 if (jwt_verify(jwt, strlen(jwt), public_key) != 0) { printf("JWT signature verification failed.\n"); return -1; } printf("JWT: %s\n", jwt); // 释放所有资源 OPENSSL_free(header_json); OPENSSL_free(payload_json); OPENSSL_free(signature); OPENSSL_free(jwt); EVP_PKEY_free(private_key); EVP_PKEY_free(public_key); RSA_free(rsa); return 0; } ``` 在上面的代码中,我们使用了OpenSSL库中的RSA算法和JWT库来生成JWT并进行签名。首先,我们使用RSA_generate_key函数生成一个2048位的RSA密钥对,然后从中提取出公钥和私钥。接着,我们创建JWT的头部和负载,其中头部包含算法名称和类型,负载包含要传输的数据。最后,我们使用jwt_sign函数对JWT进行签名,并使用jwt_encode_jwt函数将所有部分组合成完整的JWT字符串。在验证JWT签名时,我们使用jwt_verify函数来检查签名是否正确。 需要注意的是,上述代码只是一个示例,实际应用中需要根据实际情况对代码进行修改和优化,例如替换密钥对、更改负载数据等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值