在 Go 中验证 AWS Cognito 的 JWT 令牌的方法

在 Go 中验证 AWS Cognito 的 JWT 令牌时，需要从 Cognito 下载并解析相应的公共 JSON Web 密钥 (JWK)，以获取验证令牌所需的公钥。可以使用 jwk 库来完成此操作。然后，使用 jwt-go 库解析令牌并使用 JWK URL 进行验证。验证过程涉及使用令牌标头中的“kid”字段来查找要使用的正确密钥。

如何验证从 Amazon Cognito 收到的 JWT 并获取信息？

我已在 Cognito 中设置 Google 身份验证，并将重定向 uri 设置为访问 API 网关，然后我会收到一个 POST 到此端点的代码：

https://docs.aws.amazon.com/cognito/latest/developerguide/token-endpoint.html

接收 RS256 格式的 JWT 令牌。我现在正在努力验证和解析 Golang 中的令牌。我尝试使用 jwt-go 解析它，但它似乎默认支持 HMAC，并且在某处读到他们建议使用前端验证。我尝试了其他几个软件包，也遇到了类似的问题。

我在这里遇到了这个答案：Go语言和验证JWT，但假设代码已经过时，因为上面只是说panic：无法找到key。

jwt.io 可以轻松解码密钥，也可能进行验证。我不确定 Amazon 生成令牌时公钥/密钥在哪里，但据我了解，我也需要使用 JWK URL 进行验证？我找到了一些 AWS 特定的解决方案，但它们似乎都有数百行长。在 Golang 中肯定没那么复杂吧？

解决方案

amazon cognito 的公钥

正如您已经猜到的，您需要公钥才能验证 jwt 令牌。

https://docs.aws.amazon.com/cognito/latest/developerguide/amazon-cognito-user-pools-using-tokens-verifying-a-jwt.html#amazon-cognito-user-pools-using-tokens-step-2

下载并存储您的用户池对应的公共 json web 密钥 (jwk)。它作为 json web 密钥集 (jwks) 的一部分提供。 您可以将其定位于 https://cognito-idp.{region}.amazonaws.com/{userpoolid}/.well-known/jwks.json

解析密钥并验证令牌

该 json 文件结构已记录在网络中，因此您可以手动解析它，生成公钥等。

但是使用库可能会更容易，例如这个： https://github.com/lestrrat-go/jwx

然后jwt-go处理jwt部分：https://github.com/dgrijalva/jwt-go

然后您可以：

1. 使用第一个库下载并解析公钥 json

   keyset, err := jwk.fetch(the_cognito_url_described_above)

2. 使用 jwt-go 解析令牌时，使用 jwt 标头中的“kid”字段来查找要使用的正确密钥

   token, err := jwt.parse(tokenstring, func(token *jwt.token) (interface{}, error) {
    if _, ok := token.method.(*jwt.signingmethodrs256); !ok {
        return nil, fmt.errorf("unexpected signing method: %v", token.header["alg"])
    }
    kid, ok := token.header["kid"].(string)
    if !ok {
        return nil, errors.new("kid header not found")
    }
    keys := keyset.lookupkeyid(kid);
    if !ok {
        return nil, fmt.errorf("key with specified kid is not present in jwks")
    }
    var publickey interface{}
    err = keys.raw(&publickey)
    if err != nil {
        return nil, fmt.errorf("could not parse pubkey")
    }
    return publickey, nil

eugenioy 和 kevin wydler 提供的代码中的类型断言对我不起作用：*jwt.signingmethodrs256 不是 type。

*jwt.signingmethodrs256 是初始提交中的一种类型。从第二次提交（早在 2014 年 7 月）开始，它就被抽象并替换为全局变量（请参阅 here）。

以下代码对我有用：

func verify(tokenstring string, keyset *jwk.set) {
  tkn, err := jwt.parse(tokenstring, func(token *jwt.token) (interface{}, error) {
    if token.method.alg() != "rsa256" { // jwa.rs256.string() works as well
      return nil, fmt.errorf("unexpected signing method: %v", token.header["alg"])
    }
    kid, ok := token.header["kid"].(string)
    if !ok {
      return nil, errors.new("kid header not found")
    }
    keys := keyset.lookupkeyid(kid)
    if len(keys) == 0 {
      return nil, fmt.errorf("key %v not found", kid)
    }
    var raw interface{}
    return raw, keys[0].raw(&raw)
  })
}

使用以下依赖版本：

github.com/dgrijalva/jwt-go/v4 v4.0.0-preview1
github.com/lestrrat-go/jwx v1.0.4

本篇关于《在 Go 中验证 AWS Cognito 的 JWT 令牌的方法》的介绍就到此结束啦，但是学无止境，想要了解学习更多关于Golang的相关知识，请关注golang学习网公众号！