我的项目正在构建一个基于.NET Core和System.IdentityModel.Tokens.Jwtnuget包的身份验证服务。我们希望创建JWT令牌,其中包括可用于验证JWT数字签名的公钥证书(或证书链(。这在商业身份提供者(SaaS(中是可能的,并且在JWT规范中通过称为";x5c";。但到目前为止,我还无法使用System.IdentityModel.Tokens.Jwt来实现这一点。
我可以创建一个使用证书签名的JWT令牌。证书是自签名的,并使用openssl(下面包含的命令(创建。我在C#中的测试代码如下:
using Microsoft.IdentityModel.Tokens;
using System.IdentityModel.Tokens.Jwt;
// more usings..
public static string GenerateJwtToken(int exampleAccountId, string x509CertFilePath, string x509CertFilePassword)
{
var tokenHandler = new JwtSecurityTokenHandler();
var signingCert = new X509Certificate2(x509CertFilePath, x509CertFilePassword);
var tokenDescriptor = new SecurityTokenDescriptor
{
Subject = new ClaimsIdentity(new[] { new Claim(ClaimTypes.Name, exampleAccountId.ToString()) }),
Expires = DateTime.UtcNow.AddDays(30),
Audience = "myapp:1",
Issuer = "self",
SigningCredentials = new X509SigningCredentials(signingCert, SecurityAlgorithms.RsaSha512Signature),
Claims = new Dictionary<string, object>()
{
["test1"] = "hello world",
["test2"] = new List<int> { 1, 2, 4, 9 }
}
};
var token = tokenHandler.CreateToken(tokenDescriptor);
return tokenHandler.WriteToken(token);
}
生成的令牌头在jwt.io:中反序列化为
{
"alg": "RS512",
"kid": "193A49ED67F22850F4A95258FF07571A985BFCBE",
"x5t": "GTpJ7WfyKFD0qVJY_wdXGphb_L4",
"typ": "JWT"
}
问题是,我想得到";x5c";头参数输出。这是因为我的项目试图将证书与公钥包括在内,以验证令牌本身内部的令牌签名;x5c";是一个很好的方法。但我就是不能让它发挥作用。
我曾尝试在SecurityTokenDescriptor上手动添加x5c和AdditionalHeaderClaims,但它没有在令牌中输出。
有人知道如何做到这一点吗?或者你能给我指一些关于这个主题的可靠资源吗?
顺便说一句,这就是我生成证书的方式(在Windows上(:
openssl genrsa -out private2048b.key 2048
openssl req -new -key private2048b.key -out myrequest2048.csr -config <path to openssl.cfg>
openssl x509 -req -days 3650 -in myrequest2048.csr -signkey private2048b.key -out public2048b.crt
openssl pkcs12 -keypbe PBE-SHA1-3DES -certpbe PBE-SHA1-3DES -export -in public2048b.crt -inkey private2048b.key -out mypkcs2048.pfx -name "Testtest"
PFX是代码中正在读取和使用的文件。
为子孙后代更新
使用Abdulrahman-Falyoun的答案,代码的最后部分被更新为使用token.Header.Add手动添加";x5c";头参数,然后再序列化JWT令牌。令牌必须强制转换为JwtSecurityToken。这起到了作用,并在中创建了一个有效的令牌(并且具有可以立即验证的签名(https://jwt.io:
// create JwtSecurityTokenHandler and SecurityTokenDescriptor instance before here..
var exportedCertificate = Convert.ToBase64String(signingCert.Export(X509ContentType.Cert, x509CertFilePassword));
// Add x5c header parameter containing the signing certificate:
var token = tokenHandler.CreateToken(tokenDescriptor) as JwtSecurityToken;
token.Header.Add(JwtHeaderParameterNames.X5c, new List<string> { exportedCertificate });
return tokenHandler.WriteToken(token);
什么是x5c
;x5c";(X.509证书链(Header参数包含与用于对JWS进行数字签名的密钥相对应的X.509公钥证书或证书链[RFC5280]。证书或证书链表示为证书值字符串的JSON数组。数组中的每个字符串都是一个base64编码的(而不是base64url编码的(DER[IITU.X90.2008]PKIX证书值。包含与用于对JWS进行数字签名的密钥相对应的公钥的证书必须是第一个证书。随后可能会有额外的证书,每个后续证书都是用于证明前一个证书的证书。接收方必须根据RFC 5280[RFC5280]验证证书链,并且如果发生任何验证失败,则认为证书或证书链无效。此标题参数的使用是可选的。
注意
从安全角度来看,不要使用x5c证书直接验证签名。在这种情况下,任何人都可以提供自己的证书并伪造任何身份。x5t/x5t#S256标头的目的是识别签名者-检查您是否信任x5c或x5t#S256(或其颁发者(在指定的
iss下提供的证书,然后才应验证签名。
因此构建X509链
X509Chain chain = new X509Chain()
bool success = chain.Build(cert);
if (!success) throw Error
然后,对于每个chain.ChainElements值,取Certificate属性RawValue属性(并对其进行base64编码(。
最后,您获得了x5c的字符串,并且应该只将其提供给jwt的标头。
请参阅以下链接
创建包含证书的JWK集
从JWK 生成x5c证书链
如何获取JWK并在JWT签名中使用它们?
如何从RSACryptoServiceProvider获取x5c
希望它有用。
#编辑
如果问题是向标头提供x5c,则必须使用添加它
token.Header.Add(name, value)