登录
首页 >  Golang >  Go问答

如何在 Go 中验证来自 AWS Cognito 的 JWT 令牌?

来源:Golang技术栈

时间:2023-03-10 12:42:50 357浏览 收藏

大家好,今天本人给大家带来文章《如何在 Go 中验证来自 AWS Cognito 的 JWT 令牌?》,文中内容主要涉及到golang,如果你对Golang方面的知识点感兴趣,那就请各位朋友继续看下去吧~希望能真正帮到你们,谢谢!

问题内容

如何验证从 Amazon Cognito 收到的 JWT 并从中获取信息?

我在 Cognito 中设置了 Google 身份验证,并将重定向 uri 设置为命中 API 网关,然后我收到一个代码,我将其发布到此端点:

[https://docs.aws.amazon.com/cognito/latest/developerguide/token- endpoint.html](https://docs.aws.amazon.com/cognito/latest/developerguide/token- endpoint.html)

以 RS256 格式接收 JWT 令牌。我现在正在努力验证和解析 Golang 中的令牌。我尝试使用 jwt-go 解析它,但它似乎默认支持 HMAC,并在某处阅读他们建议使用前端验证。我尝试了其他一些软件包并遇到了类似的问题。

我在这里遇到了这个答案:[Go Language and Verify JWT](https://stackoverflow.com/questions/41077953/go-language-and-verify- jwt),但假设代码已经过时,正如刚才所说的那样panic: unable to find key

jwt.io 可以轻松解码密钥,并且可能也可以验证。我不确定 Amazon 生成令牌时公钥/密钥在哪里,但据我了解,我也需要使用 JWK URL 进行验证?我找到了一些 AWS 特定的解决方案,但它们似乎都有数百行长。在 Golang 中肯定没有那么复杂吧?

正确答案

Amazon Cognito 的公钥

正如您已经猜到的,您需要公钥来验证 JWT 令牌。

[https://docs.aws.amazon.com/cognito/latest/developerguide/amazon-cognito- user-pools-using-tokens-verifying-a-jwt.html#amazon-cognito-user-pools-using- tokens-第2步](https://docs.aws.amazon.com/cognito/latest/developerguide/amazon- cognito-user-pools-using-tokens-verifying-a-jwt.html#amazon-cognito-user- pools-using-tokens-step-2)

为您的用户池下载并存储相应的公共 JSON Web 密钥 (JWK)。它作为 JSON Web 密钥集 (JWKS) 的一部分提供。您可以在 https://cognito-idp.{region}.amazonaws.com/{userPoolId}/.well- known/jwks.json 找到它

解析密钥并验证令牌

该 JSON 文件结构记录在 Web 中,因此您可以手动解析它,生成公钥等。

但是只使用一个库可能会更容易,例如这个: https ://github.com/lestrrat- go/jwx

然后 jwt-go 处理 JWT 部分:https ://github.com/dgrijalva/jwt- go

然后您可以:

  1. 使用第一个库下载并解析公钥 JSON

    keySet, err := jwk.Fetch(THE_COGNITO_URL_DESCRIBED_ABOVE)
    
  2. 使用 jwt-go 解析令牌时,使用 JWT 标头中的“kid”字段来查找要使用的正确密钥

    token, err := jwt.Parse(tokenString, func(token *jwt.Token) (interface{}, error) {
    

    if _, ok := token.Method.(*jwt.SigningMethodRS256); !ok { return nil, fmt.Errorf("Unexpected signing method: %v", token.Header["alg"]) } kid, ok := token.Header["kid"].(string) if !ok { return nil, errors.New("kid header not found") } keys := keySet.LookupKeyID(kid); if !ok { return nil, fmt.Errorf("key with specified kid is not present in jwks") } var publickey interface{} err = keys.Raw(&publickey) if err != nil { return nil, fmt.Errorf("could not parse pubkey") } return publickey, nil

今天关于《如何在 Go 中验证来自 AWS Cognito 的 JWT 令牌?》的内容就介绍到这里了,是不是学起来一目了然!想要了解更多关于golang的内容请关注golang学习网公众号!

声明:本文转载于:Golang技术栈 如有侵犯,请联系study_golang@163.com删除
相关阅读
更多>
最新阅读
更多>
课程推荐
更多>
评论列表