Existe-t-il un exemple de jeton Web JSON (JWT) en C #?

101

J'ai l'impression de prendre des pilules folles ici. Habituellement, il y a toujours un million de bibliothèques et d'échantillons flottant sur le Web pour une tâche donnée. J'essaie de mettre en œuvre l'authentification avec un "compte de service" Google en utilisant des jetons Web JSON (JWT) comme décrit ici .

Cependant, il n'y a que des bibliothèques clientes en PHP, Python et Java. Même en recherchant des exemples JWT en dehors de l'authentification de Google, il n'y a que des grillons et des brouillons sur le concept JWT. Est-ce vraiment si nouveau et peut-être un système propriétaire de Google?

L'exemple java qui est le plus proche que je pourrais réussir à interpréter semble assez intense et intimidant. Il doit y avoir quelque chose en C # avec lequel je pourrais au moins commencer. N'importe quelle aide serait formidable!

c# oauth oauth-2.0 jwt

— Levitikon
source

2

Peter a votre réponse. JWT est un format de jeton relativement nouveau, c'est pourquoi les échantillons sont encore un peu difficiles à trouver, mais il se développe très rapidement car les JWT sont un remplacement indispensable des SWT. Microsoft soutient le format de jeton, les API de connexion en direct, par exemple, utilisent des JWT.

— Andrew Lavers

Cela a-t-il quelque chose à voir avec App Engine?

— Nick Johnson

Copie possible du jeton d'identification JWT

— Thomas

74

Merci tout le monde. J'ai trouvé une implémentation de base d'un jeton Web Json et je l'ai développée avec la saveur Google. Je ne l'ai toujours pas complètement réglé, mais c'est 97% là-bas. Ce projet a perdu sa vapeur, alors j'espère que cela aidera quelqu'un d'autre à prendre une bonne longueur d'avance:

Remarque: les modifications que j'ai apportées à l'implémentation de base (je ne me souviens plus où je l'ai trouvée) sont:

Changé HS256 -> RS256

Intervertit l'ordre JWT et alg dans l'en-tête. Je ne sais pas qui s'est trompé, Google ou les spécifications, mais Google le prend comme il est ci-dessous selon leurs documents.

public enum JwtHashAlgorithm
{
    RS256,
    HS384,
    HS512
}

public class JsonWebToken
{
    private static Dictionary<JwtHashAlgorithm, Func<byte[], byte[], byte[]>> HashAlgorithms;

    static JsonWebToken()
    {
        HashAlgorithms = new Dictionary<JwtHashAlgorithm, Func<byte[], byte[], byte[]>>
            {
                { JwtHashAlgorithm.RS256, (key, value) => { using (var sha = new HMACSHA256(key)) { return sha.ComputeHash(value); } } },
                { JwtHashAlgorithm.HS384, (key, value) => { using (var sha = new HMACSHA384(key)) { return sha.ComputeHash(value); } } },
                { JwtHashAlgorithm.HS512, (key, value) => { using (var sha = new HMACSHA512(key)) { return sha.ComputeHash(value); } } }
            };
    }

    public static string Encode(object payload, string key, JwtHashAlgorithm algorithm)
    {
        return Encode(payload, Encoding.UTF8.GetBytes(key), algorithm);
    }

    public static string Encode(object payload, byte[] keyBytes, JwtHashAlgorithm algorithm)
    {
        var segments = new List<string>();
        var header = new { alg = algorithm.ToString(), typ = "JWT" };

        byte[] headerBytes = Encoding.UTF8.GetBytes(JsonConvert.SerializeObject(header, Formatting.None));
        byte[] payloadBytes = Encoding.UTF8.GetBytes(JsonConvert.SerializeObject(payload, Formatting.None));
        //byte[] payloadBytes = Encoding.UTF8.GetBytes(@"{"iss":"761326798069-r5mljlln1rd4lrbhg75efgigp36m78j5@developer.gserviceaccount.com","scope":"https://www.googleapis.com/auth/prediction","aud":"https://accounts.google.com/o/oauth2/token","exp":1328554385,"iat":1328550785}");

        segments.Add(Base64UrlEncode(headerBytes));
        segments.Add(Base64UrlEncode(payloadBytes));

        var stringToSign = string.Join(".", segments.ToArray());

        var bytesToSign = Encoding.UTF8.GetBytes(stringToSign);

        byte[] signature = HashAlgorithms[algorithm](keyBytes, bytesToSign);
        segments.Add(Base64UrlEncode(signature));

        return string.Join(".", segments.ToArray());
    }

    public static string Decode(string token, string key)
    {
        return Decode(token, key, true);
    }

    public static string Decode(string token, string key, bool verify)
    {
        var parts = token.Split('.');
        var header = parts[0];
        var payload = parts[1];
        byte[] crypto = Base64UrlDecode(parts[2]);

        var headerJson = Encoding.UTF8.GetString(Base64UrlDecode(header));
        var headerData = JObject.Parse(headerJson);
        var payloadJson = Encoding.UTF8.GetString(Base64UrlDecode(payload));
        var payloadData = JObject.Parse(payloadJson);

        if (verify)
        {
            var bytesToSign = Encoding.UTF8.GetBytes(string.Concat(header, ".", payload));
            var keyBytes = Encoding.UTF8.GetBytes(key);
            var algorithm = (string)headerData["alg"];

            var signature = HashAlgorithms[GetHashAlgorithm(algorithm)](keyBytes, bytesToSign);
            var decodedCrypto = Convert.ToBase64String(crypto);
            var decodedSignature = Convert.ToBase64String(signature);

            if (decodedCrypto != decodedSignature)
            {
                throw new ApplicationException(string.Format("Invalid signature. Expected {0} got {1}", decodedCrypto, decodedSignature));
            }
        }

        return payloadData.ToString();
    }

    private static JwtHashAlgorithm GetHashAlgorithm(string algorithm)
    {
        switch (algorithm)
        {
            case "RS256": return JwtHashAlgorithm.RS256;
            case "HS384": return JwtHashAlgorithm.HS384;
            case "HS512": return JwtHashAlgorithm.HS512;
            default: throw new InvalidOperationException("Algorithm not supported.");
        }
    }

    // from JWT spec
    private static string Base64UrlEncode(byte[] input)
    {
        var output = Convert.ToBase64String(input);
        output = output.Split('=')[0]; // Remove any trailing '='s
        output = output.Replace('+', '-'); // 62nd char of encoding
        output = output.Replace('/', '_'); // 63rd char of encoding
        return output;
    }

    // from JWT spec
    private static byte[] Base64UrlDecode(string input)
    {
        var output = input;
        output = output.Replace('-', '+'); // 62nd char of encoding
        output = output.Replace('_', '/'); // 63rd char of encoding
        switch (output.Length % 4) // Pad with trailing '='s
        {
            case 0: break; // No pad chars in this case
            case 2: output += "=="; break; // Two pad chars
            case 3: output += "="; break; // One pad char
            default: throw new System.Exception("Illegal base64url string!");
        }
        var converted = Convert.FromBase64String(output); // Standard base64 decoder
        return converted;
    }
}

Et puis ma classe JWT spécifique à Google:

public class GoogleJsonWebToken
{
    public static string Encode(string email, string certificateFilePath)
    {
        var utc0 = new DateTime(1970,1,1,0,0,0,0, DateTimeKind.Utc);
        var issueTime = DateTime.Now;

        var iat = (int)issueTime.Subtract(utc0).TotalSeconds;
        var exp = (int)issueTime.AddMinutes(55).Subtract(utc0).TotalSeconds; // Expiration time is up to 1 hour, but lets play on safe side

        var payload = new
        {
            iss = email,
            scope = "https://www.googleapis.com/auth/gan.readonly",
            aud = "https://accounts.google.com/o/oauth2/token",
            exp = exp,
            iat = iat
        };

        var certificate = new X509Certificate2(certificateFilePath, "notasecret");

        var privateKey = certificate.Export(X509ContentType.Cert);

        return JsonWebToken.Encode(payload, privateKey, JwtHashAlgorithm.RS256);
    }
}

— Levitikon
source

9

L'implémentation originale semble être la bibliothèque JWT de John Sheehans: github.com/johnsheehan/jwt

— Torbjørn

On dirait que John's ne prend pas en charge les algorithmes de cryptage RS (drapeau alg), mais cette version le fait.

— Ryan

15

Cette version ne prend PAS en charge correctement l'algorithme de signature RS256! Il ne hache que l'entrée avec les octets de clé comme secret au lieu de crypter correctement le hachage comme cela devrait être fait dans PKI. Il commute simplement l'étiquette HS256 pour l'étiquette RS256 sans l'implémentation appropriée.

— Hans Z.30

1

Le code ci-dessus est en partie soumis à l'attaque de sécurité qui lui a été décrite: auth0.com/blog/2015/03/31/… Il est vulnérable à «Si un serveur attend un token signé avec RSA, mais reçoit en fait un token signé avec HMAC , il pensera que la clé publique est en fait une clé secrète HMAC. »

— BennyBechDk

@Levitikon Une idée comment puis-je décoder la clé privée fournie par Google dans le fichier JSON? Merci

— bibscy

46

Après que tous ces mois se soient écoulés après la question initiale, il convient maintenant de souligner que Microsoft a conçu sa propre solution. Voir http://blogs.msdn.com/b/vbertocci/archive/2012/11/20/introducing-the-developer-preview-of-the-json-web-token-handler-for-the-microsoft-net -framework-4-5.aspx pour plus de détails.

— Jouni Heikniemi
source

7

le package nuget de ce blog est déprécié. Je crois que le nouveau est nuget.org/packages/System.IdentityModel.Tokens.Jwt/…

— Stan

3

@Stan ce lien est génial, mais il est défini sur une version spécifique (et désormais obsolète). Cela pointera toujours vers la dernière version. nuget.org/packages/System.IdentityModel.Tokens.Jwt

— Jeffrey Harmon

3

Certains extraits de code démontrant l'utilisation (encodage / décodage, symétrique / asymétrique) seraient très utiles.

— Ohad Schneider

20

Je ne l'ai jamais utilisé mais il existe une implémentation JWT sur NuGet.

Paquet: https://nuget.org/packages/JWT

Source: https://github.com/johnsheehan/jwt

Compatible .NET 4.0: https://www.nuget.org/packages/jose-jwt/

Vous pouvez également aller ici: https://jwt.io/ et cliquer sur "bibliothèques".

— Ben Vitale
source

12

Voici un exemple de travail:

http://zavitax.wordpress.com/2012/12/17/logging-in-with-google-service-account-in-c-jwt/

Il a fallu un certain temps pour collecter les pièces éparpillées sur le web, les docs sont plutôt incomplets ...

— Il y a
source

Enfin une solution vraiment plug and play. Merci beaucoup! Cela a fonctionné pour moi.

— EmKay

6

Ceci est mon implémentation de (Google) JWT Validation dans .NET. Il est basé sur d'autres implémentations sur Stack Overflow et GitHub gists.

using Microsoft.IdentityModel.Tokens;
using System;
using System.Collections.Generic;
using System.IdentityModel.Tokens.Jwt;
using System.Linq;
using System.Net.Http;
using System.Security.Claims;
using System.Security.Cryptography.X509Certificates;
using System.Text;
using System.Threading.Tasks;

namespace QuapiNet.Service
{
    public class JwtTokenValidation
    {
        public async Task<Dictionary<string, X509Certificate2>> FetchGoogleCertificates()
        {
            using (var http = new HttpClient())
            {
                var response = await http.GetAsync("https://www.googleapis.com/oauth2/v1/certs");

                var dictionary = await response.Content.ReadAsAsync<Dictionary<string, string>>();
                return dictionary.ToDictionary(x => x.Key, x => new X509Certificate2(Encoding.UTF8.GetBytes(x.Value)));
            }
        }

        private string CLIENT_ID = "xxx.apps.googleusercontent.com";

        public async Task<ClaimsPrincipal> ValidateToken(string idToken)
        {
            var certificates = await this.FetchGoogleCertificates();

            TokenValidationParameters tvp = new TokenValidationParameters()
            {
                ValidateActor = false, // check the profile ID

                ValidateAudience = true, // check the client ID
                ValidAudience = CLIENT_ID,

                ValidateIssuer = true, // check token came from Google
                ValidIssuers = new List<string> { "accounts.google.com", "https://accounts.google.com" },

                ValidateIssuerSigningKey = true,
                RequireSignedTokens = true,
                IssuerSigningKeys = certificates.Values.Select(x => new X509SecurityKey(x)),
                IssuerSigningKeyResolver = (token, securityToken, kid, validationParameters) =>
                {
                    return certificates
                    .Where(x => x.Key.ToUpper() == kid.ToUpper())
                    .Select(x => new X509SecurityKey(x.Value));
                },
                ValidateLifetime = true,
                RequireExpirationTime = true,
                ClockSkew = TimeSpan.FromHours(13)
            };

            JwtSecurityTokenHandler jsth = new JwtSecurityTokenHandler();
            SecurityToken validatedToken;
            ClaimsPrincipal cp = jsth.ValidateToken(idToken, tvp, out validatedToken);

            return cp;
        }
    }
}

Notez que, pour l'utiliser, vous devez ajouter une référence au package NuGet System.Net.Http.Formatting.Extension. Sans cela, le compilateur ne reconnaîtra pas la ReadAsAsync<>méthode.

— Thomas
source

Pourquoi auriez-vous besoin de définir IssuerSigningKeyssi le IssuerSigningKeyResolverest fourni?

— AsifM

@AsifMD Je ne sais pas vraiment et je ne peux pas le tester pour le moment. Peut-être que cela fonctionne sans définir IssuerSigningKey. Vous devez également modifier le code du résolveur pour demander les certificats, sinon vous obtenez une erreur dans quelques jours lorsque Google modifie ses certificats.

— Thomas le

+1 pour cette approche la plus simple. PM> Install-Package System.IdentityModel.Tokens.Jwt -Version 5.2.4 pour prendre en charge System.IdentityModel

— Karthick Jayaraman

3

Jetez un œil à la bibliothèque cliente Google pour .NET .

— Peter Knego
source

1

Il serait préférable d'utiliser des bibliothèques standard et célèbres au lieu d'écrire le code à partir de zéro.

JWT pour encoder et décoder les jetons JWT
Bouncy Castle prend en charge le cryptage et le décryptage, en particulier RS256, obtenez-le ici

En utilisant ces bibliothèques, vous pouvez générer un jeton JWT et le signer en utilisant RS256 comme ci-dessous.

    public string GenerateJWTToken(string rsaPrivateKey)
    {
        var rsaParams = GetRsaParameters(rsaPrivateKey);
        var encoder = GetRS256JWTEncoder(rsaParams);

        // create the payload according to the Google's doc
        var payload = new Dictionary<string, object>
        {
            { "iss", ""},
            { "sub", "" },
            // and other key-values according to the doc
        };

        // add headers. 'alg' and 'typ' key-values are added automatically.
        var header = new Dictionary<string, object>
        {
            { "kid", "{your_private_key_id}" },
        };

        var token = encoder.Encode(header,payload, new byte[0]);

        return token;
    }

    private static IJwtEncoder GetRS256JWTEncoder(RSAParameters rsaParams)
    {
        var csp = new RSACryptoServiceProvider();
        csp.ImportParameters(rsaParams);

        var algorithm = new RS256Algorithm(csp, csp);
        var serializer = new JsonNetSerializer();
        var urlEncoder = new JwtBase64UrlEncoder();
        var encoder = new JwtEncoder(algorithm, serializer, urlEncoder);

        return encoder;
    }

    private static RSAParameters GetRsaParameters(string rsaPrivateKey)
    {
        var byteArray = Encoding.ASCII.GetBytes(rsaPrivateKey);
        using (var ms = new MemoryStream(byteArray))
        {
            using (var sr = new StreamReader(ms))
            {
                // use Bouncy Castle to convert the private key to RSA parameters
                var pemReader = new PemReader(sr);
                var keyPair = pemReader.ReadObject() as AsymmetricCipherKeyPair;
                return DotNetUtilities.ToRSAParameters(keyPair.Private as RsaPrivateCrtKeyParameters);
            }
        }
    }

ps: la clé privée RSA doit avoir le format suivant:

----- BEGIN RSA PRIVATE KEY ----- {valeur formatée en base64} ----- END RSA PRIVATE KEY -----

— Ehsan Mirsaeedi
source

0

Voici un autre exemple de travail REST uniquement pour les comptes de service Google accédant aux utilisateurs et aux groupes G Suite , en s'authentifiant via JWT . Cela n'a été possible que grâce au reflet des bibliothèques Google, car la documentation Google de ces API est au-delà de la terrible . Quiconque a l'habitude de coder dans les technologies MS aura du mal à comprendre comment tout se passe dans les services Google.

$iss = "<name>@<serviceaccount>.iam.gserviceaccount.com"; # The email address of the service account.
$sub = "impersonate.user@mydomain.com"; # The user to impersonate (required).
$scope = "https://www.googleapis.com/auth/admin.directory.user.readonly https://www.googleapis.com/auth/admin.directory.group.readonly";
$certPath = "D:\temp\mycertificate.p12";
$grantType = "urn:ietf:params:oauth:grant-type:jwt-bearer";

# Auxiliary functions
function UrlSafeEncode([String] $Data) {
    return $Data.Replace("=", [String]::Empty).Replace("+", "-").Replace("/", "_");
}

function UrlSafeBase64Encode ([String] $Data) {
    return (UrlSafeEncode -Data ([Convert]::ToBase64String([System.Text.Encoding]::UTF8.GetBytes($Data))));
}

function KeyFromCertificate([System.Security.Cryptography.X509Certificates.X509Certificate2] $Certificate) {
    $privateKeyBlob = $Certificate.PrivateKey.ExportCspBlob($true);
    $key = New-Object System.Security.Cryptography.RSACryptoServiceProvider;
    $key.ImportCspBlob($privateKeyBlob);
    return $key;
}

function CreateSignature ([Byte[]] $Data, [System.Security.Cryptography.X509Certificates.X509Certificate2] $Certificate) {
    $sha256 = [System.Security.Cryptography.SHA256]::Create();
    $key = (KeyFromCertificate $Certificate);
    $assertionHash = $sha256.ComputeHash($Data);
    $sig = [Convert]::ToBase64String($key.SignHash($assertionHash, "2.16.840.1.101.3.4.2.1"));
    $sha256.Dispose();
    return $sig;
}

function CreateAssertionFromPayload ([String] $Payload, [System.Security.Cryptography.X509Certificates.X509Certificate2] $Certificate) {
    $header = @"
{"alg":"RS256","typ":"JWT"}
"@;
    $assertion = New-Object System.Text.StringBuilder;

    $assertion.Append((UrlSafeBase64Encode $header)).Append(".").Append((UrlSafeBase64Encode $Payload)) | Out-Null;
    $signature = (CreateSignature -Data ([System.Text.Encoding]::ASCII.GetBytes($assertion.ToString())) -Certificate $Certificate);
    $assertion.Append(".").Append((UrlSafeEncode $signature)) | Out-Null;
    return $assertion.ToString();
}

$baseDateTime = New-Object DateTime(1970, 1, 1, 0, 0, 0, [DateTimeKind]::Utc);
$timeInSeconds = [Math]::Truncate([DateTime]::UtcNow.Subtract($baseDateTime).TotalSeconds);

$jwtClaimSet = @"
{"scope":"$scope","email_verified":false,"iss":"$iss","sub":"$sub","aud":"https://oauth2.googleapis.com/token","exp":$($timeInSeconds + 3600),"iat":$timeInSeconds}
"@;


$cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($certPath, "notasecret", [System.Security.Cryptography.X509Certificates.X509KeyStorageFlags]::Exportable);
$jwt = CreateAssertionFromPayload -Payload $jwtClaimSet -Certificate $cert;


# Retrieve the authorization token.
$authRes = Invoke-WebRequest -Uri "https://oauth2.googleapis.com/token" -Method Post -ContentType "application/x-www-form-urlencoded" -UseBasicParsing -Body @"
assertion=$jwt&grant_type=$([Uri]::EscapeDataString($grantType))
"@;
$authInfo = ConvertFrom-Json -InputObject $authRes.Content;

$resUsers = Invoke-WebRequest -Uri "https://www.googleapis.com/admin/directory/v1/users?domain=<required_domain_name_dont_trust_google_documentation_on_this>" -Method Get -Headers @{
    "Authorization" = "$($authInfo.token_type) $($authInfo.access_token)"
}

$users = ConvertFrom-Json -InputObject $resUsers.Content;

$users.users | ft primaryEmail, isAdmin, suspended;

— Vinicius
source

0

Voici la liste des classes et des fonctions:

open System
open System.Collections.Generic
open System.Linq
open System.Threading.Tasks
open Microsoft.AspNetCore.Mvc
open Microsoft.Extensions.Logging
open Microsoft.AspNetCore.Authorization
open Microsoft.AspNetCore.Authentication
open Microsoft.AspNetCore.Authentication.JwtBearer
open Microsoft.IdentityModel.Tokens
open System.IdentityModel.Tokens
open System.IdentityModel.Tokens.Jwt
open Microsoft.IdentityModel.JsonWebTokens
open System.Text
open Newtonsoft.Json
open System.Security.Claims
    let theKey = "VerySecretKeyVerySecretKeyVerySecretKey"
    let securityKey = SymmetricSecurityKey(Encoding.UTF8.GetBytes(theKey))
    let credentials = SigningCredentials(securityKey, SecurityAlgorithms.RsaSsaPssSha256)
    let expires = DateTime.UtcNow.AddMinutes(123.0) |> Nullable
    let token = JwtSecurityToken(
                    "lahoda-pro-issuer", 
                    "lahoda-pro-audience",
                    claims = null,
                    expires =  expires,
                    signingCredentials = credentials
        )

    let tokenString = JwtSecurityTokenHandler().WriteToken(token)

— Dzmitry Lahoda
source