web-workers 环境中 JWK 的 x509 公钥

x509 public key to JWK in web-workers environment

提问人:mehari 提问时间:12/12/2020 最后编辑:mehari 更新时间:12/15/2020 访问量:1177

问:

我想在“Cloudflare workers”环境中验证“firebase JWT token”。

问题是 firebase-auth 不提供标准,而是提供 (pem) 格式/.well-known/jwks.jsonx806 public key certificate

我正在使用“Webcrypto API”来完成加密工作,这是我的工作

// Get CryptoKey
const key = await crypto.subtle.importKey(
  "jwk", // it's possible to change this format if the pem can be changed to other standards
  jwk, //  ?? Here is the missing piece
  { name: "RSASSA-PKCS1-v1_5", hash: "SHA-256" },
  false,
  ["verify"]
);

// Verify
const success = await crypto.subtle.verify(
  "RSASSA-PKCS1-v1_5",
  key,
  signature, // JWT signature
  data // JWT payload
);

我在 Github 上尝试了几个软件包,我发现的所有库要么不起作用,要么使用 nodejs API(例如缓冲区),这在 CF 环境中不起作用

有人可以指出我如何

  • 将 firebase 公钥转换为 JWK 或
  • 将公钥转换为其他可以接受的标准()"raw" | "pkcs8" | "spki"importKey

注意:我们在“CF Workers”环境中,因此所有“nodejs”api都不起作用

谢谢

JavaScript Firebase 标准 WebCrypto-API Cloudflare-Workers

评论

答:

0赞 Cully 12/12/2020 #1

我不确定你对 CF worker 有什么可用,但这可能是从以下方面开始的:

const forge = require('node-forge')
const NodeRSA = require('node-rsa')
const {createHash} = require('crypto')
const base64url = require('base64url')

const getCertificateDer = certPem => {
    return forge.util.encode64(
        forge.asn1
            .toDer(forge.pki.certificateToAsn1(forge.pki.certificateFromPem(certPem)))
            .getBytes(),
    )
}

const getModulusExponent = certPem => {
    const nodeRsa = new NodeRSA()
    nodeRsa.importKey(certPem)

    const {n: modulus, e: exponent} = nodeRsa.exportKey('components-public')

    return {
        modulus,
        exponent,
    }
}

const getCertThumbprint = certDer => {
    const derBinaryStr = Buffer.from(certDer).toString('binary')

    const shasum = createHash('sha1')
    shasum.update(derBinaryStr)

    return shasum.digest('base64')
}

const getCertThumbprintEncoded = certDer => base64url.encode(getCertThumbprint(certDer))

const certPem = "<your pem certificate>"
const {modulus, exponent} = getModulusExponent(certPem)
const certDer = getCertificateDer(certPem)
const thumbprintEncoded = getCertThumbprintEncoded(certDer)

const jwksInfo = {
    alg: 'RSA256',
    kty: 'RSA',
    use: 'sig',
    x5c: [certDer],
    e: String(exponent),
    n: modulus.toString('base64'),
    kid: thumbprintEncoded,
    x5t: thumbprintEncoded,
}

由于您不能使用 Buffer,并且可能无法使用 node 的加密库,因此您必须找到该函数的替代品。但它所做的只是创建一个 sha1 哈希并对其进行 base64 编码,因此这可能并不困难。getCertThumbprintcertDer

更新:这可以替代 .我做了一些测试,它似乎返回了与上面相同的值,但我还没有用它来验证 JWT。getCertThumbprint

const sha1 = require('sha1')

const getCertThumbprint = certDer => btoa(sha1(certDer))
2赞 Kenton Varda 12/15/2020 #2

这里的关键(可以这么说)是 PEM 格式的私钥基于 PKCS #8 二进制格式。“PEM”格式表示基础二进制数据已进行 base64 编码,并添加了类似注释的注释。WebCrypto 可以理解 PKCS #8 二进制格式,但不能处理 PEM。幸运的是,手动解码 PEM 并不难。--- BEGIN PRIVATE KEY ---

以下是一些代码,来自真实的生产 Cloudflare Worker。

let pem = "[your PEM string here]";

// Parse PEM base64 format into binary bytes.
// The first line removes comments and newlines to form one continuous
// base64 string, the second line decodes that to a Uint8Array.
let b64 = pem.split('\n').filter(line => !line.startsWith("--")).join("");
let bytes = new Uint8Array([...atob(b64)].map(c => c.charCodeAt(0)));

// Import key using WebCrypto API.
let key = await crypto.subtle.importKey("pkcs8", bytes,
    { name: "RSASSA-PKCS1-v1_5", hash: "SHA-256" },
    false, ["verify"]);

请注意,PEM 用于包装许多不同的格式。PKCS #8 对于私钥很常见。SPKI对于公钥很常见(WebCrypto也支持)。证书是另一种格式,我认为 WebCrypto 无法直接读取。

上一个:什么更好的用户体验/可访问性:禁用按钮或具有 .active 状态的链接?[关闭]

下一个:如何解读caniuse网站信息?