在JWT令牌解析过程中，JWT密钥是在哪里进行验证？

本篇文章主要是结合我之前面试的各种经历和实战开发中遇到的问题解决经验整理的，希望这篇《在JWT令牌解析过程中，JWT密钥是在哪里进行验证？》对你有很大帮助！欢迎收藏，分享给更多的需要的朋友学习~

我正在阅读 jwt 的示例文件夹，我有点不确定验证令牌的工作原理。

func examplenewwithclaims_customclaimstype() {
    mysigningkey := []byte("allyourbase")

    type mycustomclaims struct {
        foo string `json:"foo"`
        jwt.standardclaims
    }

    // create the claims
    claims := mycustomclaims{
        "bar",
        jwt.standardclaims{
            expiresat: 15000,
            issuer:    "test",
        },
    }

    token := jwt.newwithclaims(jwt.signingmethodhs256, claims)
    ss, err := token.signedstring(mysigningkey)
    fmt.printf("%v %v", ss, err)
    //output: eyjhbgcioijiuzi1niisinr5cci6ikpxvcj9.eyjmb28ioijiyxiilcjlehaioje1mdawlcjpc3mioij0zxn0in0.he7fk0xoqwfer4wdgrwj4terpz6i3glwd5ycm6pwu_c 
}

这里很简单，令牌在这里使用“mysigningkey”进行签名 token.signedstring(mysigningkey)

现在解析对我来说不太清楚：

func ExampleParseWithClaims_customClaimsType() {
    tokenString := "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJmb28iOiJiYXIiLCJleHAiOjE1MDAwLCJpc3MiOiJ0ZXN0In0.HE7fK0xOQwFEr4WDgRWj4teRPZ6i3GLwD5YCm6Pwu_c"

    type MyCustomClaims struct {
        Foo string `json:"foo"`
        jwt.StandardClaims
    }

    // sample token is expired.  override time so it parses as valid
    at(time.Unix(0, 0), func() {
        token, err := jwt.ParseWithClaims(tokenString, &MyCustomClaims{}, func(token *jwt.Token) (interface{}, error) {
            return []byte("AllYourBase"), nil
        })

        if claims, ok := token.Claims.(*MyCustomClaims); ok && token.Valid {
            fmt.Printf("%v %v", claims.Foo, claims.StandardClaims.ExpiresAt)
        } else {
            fmt.Println(err)
        }
    })

    // Output: bar 15000
}

为了验证客户端返回的令牌字符串的签名是否有效，您需要

• 解码声明（在 &mycustomclaims{} 中完成）
• 使用 token.valid 验证已解码声明的签名部分对于“令牌中包含的公钥”是否有效。

但是这个例子只是解码密钥并通过“魔法”返回的是秘密/签名密钥？

这对我来说根本没有意义。此外，返回公钥的有效声明是没有用的，因为它可以通过任何私钥来完成。

我错过了什么？

解决方案

验证不是通过令牌中包含的公钥完成的。

hs256 是对称的，因此无论您使用什么密钥来签署令牌，都必须使用相同的密钥来验证签名，这就是正在发生的情况。传递给 parsewithclaims 的函数返回用于签署令牌的相同密钥。

如果使用非对称签名算法，您将使用私钥对令牌进行签名，然后使用公钥对其进行验证，并且该嵌套函数必须返回公钥，以便 parsewithclaims 可以对其进行验证。

听起来让您感到困惑的部分是：

jwt.ParseWithClaims(tokenString, &MyCustomClaims{}, func(token *jwt.Token) (interface{}, error) {
            return []byte("AllYourBase"), nil
        })

传递给 parsewithclaims 的嵌套函数应该检查传递的令牌，并返回可用于验证签名的正确密钥。对于 hs256，它与用于签名的密钥相同。对于rsxxx，它是公钥，可以从传入的令牌中检索它应该返回哪个公钥。它通常包含一个公钥id，以便您可以选择正确的密钥。

文中关于的知识介绍，希望对你的学习有所帮助！若是受益匪浅，那就动动鼠标收藏这篇《在JWT令牌解析过程中，JWT密钥是在哪里进行验证？》文章吧，也可关注golang学习网公众号了解相关技术文章。