Ich verwende diese Bibliothek, node-jwks-rsa, um JWT-Schlüssel aus meiner auth0 jwks.json-Datei abzurufen, um zu überprüfen, dass das ID_Token meine Anwendung abruft, nachdem die Authentifizierung tatsächlich von meinem Auth-Provider kommt.JWT öffentlicher Schlüssel und Signaturvalidierung für privaten Schlüssel - was ist der Unterschied?
Unter der Haube nutzt sie diese Methode einen öffentlichen Schlüssel PEM
export function certToPEM(cert) {
cert = cert.match(/.{1,64}/g).join('\n');
cert = `-----BEGIN CERTIFICATE-----\n${cert}\n-----END CERTIFICATE-----\n`;
return cert;
}
(Unter Verwendung des x50c als Argument aus der .jwks-Datei) zu bauen.
die ich dann in Kombination mit jsonwebtoken verwenden, um zu überprüfen, dass der JWT (id_token) gültig ist.
Wie unterscheidet sich diese Verifikationsmethode von der Generierung eines privaten Schlüssels (RSA) aus dem Modul und Exponenten der jwks.json-Datei und deren Verwendung zur Verifizierung? (Als Beispiel siehe diese library)
Zusätzlich ist hier Funktion als Beweis dafür, dass
export function rsaPublicKeyToPEM(modulusB64, exponentB64) {
const modulus = new Buffer(modulusB64, 'base64');
const exponent = new Buffer(exponentB64, 'base64');
const modulusHex = prepadSigned(modulus.toString('hex'));
const exponentHex = prepadSigned(exponent.toString('hex'));
const modlen = modulusHex.length/2;
const explen = exponentHex.length/2;
const encodedModlen = encodeLengthHex(modlen);
const encodedExplen = encodeLengthHex(explen);
const encodedPubkey = '30' +
encodeLengthHex(modlen + explen + encodedModlen.length/2 + encodedExplen.length/2 + 2) +
'02' + encodedModlen + modulusHex +
'02' + encodedExplen + exponentHex;
const der = new Buffer(encodedPubkey, 'hex')
.toString('base64');
let pem = `-----BEGIN RSA PUBLIC KEY-----\n`;
pem += `${der.match(/.{1,64}/g).join('\n')}`;
pem += `\n-----END RSA PUBLIC KEY-----\n`;
return pem;
};
Die zuvor erwähnte jsonwebtoken Bibliothek eine PEM von einem mod und Exponent (von http://stackoverflow.com/questions/18835132/xml-to-pem-in-node-js genommen) erzeugt, kann eine JWT überprüfen entweder - aber warum? Wenn beide Verifizierungsmethoden eine JWT-Signatur validieren können, warum gibt es beide? Was sind die Kompromisse zwischen ihnen? Ist einer sicherer als der andere? Welches sollte ich am besten verwenden?
Nur der öffentliche Schlüssel (konfiguriert) wird für die Signaturprüfung verwendet. Unter der Haube müssen beide Bibliotheken einen Hash berechnen und die Hash-Signatur validieren. Bis die Validierung korrekt durchgeführt wurde, gibt es keinen Grund, dass eine sicherer wäre als eine andere. – gusto2
@ gusto2 - Ich bin immer noch verwirrt. Warum ermöglicht der interaktive Debugger unter https://jwt.io/ die JWT-Signaturvalidierung mit den beiden Methoden, die ich oben beschrieben habe, öffentlich und privat, wenn nur der öffentliche Schlüssel verwendet wird? – TheFastCat
Sie können eine digitale Signatur nicht mit einem privaten Schlüssel verifizieren. Unklar, was du verlangst. – EJP