我想使用非对称密钥规范实现Proof of Possession。
我想将 RSA 存储在浏览器中的安全位置 - 作为 JWT 验证请求的一部分,我将能够使用私钥和公钥对请求的部分进行签名。
我不知道如何将 RSA 导入我的浏览器 - 我可以在哪里安全地存储在浏览器中的 RSA 私钥?
看看WebCrypto API和IndexedDB。这里有一些WebCrypto示例 - https://github.com/diafygi/webcrypto-examples。
这将允许您以无法提取的方式导入密钥 - 仅用于签名和验证签名。但是,当清除浏览器数据并勾选"清除应用程序数据"(/类似 - 取决于浏览器)标志时,这将被擦除。
例如,导入密钥并将其存储在 IndexedDB 中(此代码尚未经过测试/必须实现_openDb)-
window.crypto.subtle.importKey(
"jwk", //can be "jwk" (public or private), "spki" (public only), or "pkcs8" (private only)
{ //this is an example jwk key, other key types are Uint8Array objects
kty: "RSA",
e: "AQAB",
n: "vGO3eU16ag9zRkJ4AK8ZUZrjbtp5xWK0LyFMNT8933evJoHeczexMUzSiXaLrEFSyQZortk81zJH3y41MBO_UFDO_X0crAquNrkjZDrf9Scc5-MdxlWU2Jl7Gc4Z18AC9aNibWVmXhgvHYkEoFdLCFG-2Sq-qIyW4KFkjan05IE",
alg: "PS256",
ext: true,
},
{ //these are the algorithm options
name: "RSA-PSS",
hash: {name: "SHA-256"}, //can be "SHA-1", "SHA-256", "SHA-384", or "SHA-512"
},
false, //whether the key is extractable (i.e. can be used in exportKey)
["verify"] //"verify" for public key import, "sign" for private key imports
).then(function(key){
((_db_handle === null) ?
_openDb() :
Promise.resolve()
).then(function() {
let tx = _db_handle.transaction("KeyStore", "readwrite");
let store = tx.objectStore("KeyStore");
let putKey = store.put({id: "Key 1", key: key});
putKey.onsuccess = function() {
resolve();
};
putKey.onerror = function() {
reject(putKey.error);
};
});
})
然后再读一遍——
let tx = _db_handle.transaction("KeyStore", "readwrite");
let store = tx.objectStore("KeyStore");
let getKey = store.get("Key 1");
getKey.onsuccess = function() {
resolve(getKey.result ? getKey.result.key : null);
};
getKey.onerror = function() {
reject(getKey.error);
};
也许您可以创建一个用于持有密钥的扩展。考虑到如果您需要在浏览器中存储私钥,则默认情况下只允许存储加密密钥,此外,如果您希望/需要存储更多密钥,则不允许在不同的密钥文件上使用相同的密码。
此外,请考虑使用主密钥和/或 OTP 解密存储。
寻找这些东西可用的扩展可以节省一些工作