System.IdentityModel.Tokens.Jwtを使用してJWTトークンのデコードと検証

Question

私はJWTライブラリを使用してJson Webトークンをデコードしており、Microsoftの公式JWT実装System.IdentityModel.Tokens.Jwtに切り替えたいと考えています。

ドキュメントは非常に疎であるため、JWTライブラリで何をやっているのかを理解するのは難しいです。 JWTライブラリには、Base64でエンコードされたJWTを取り出し、それをJSONに変換してデシリアライズできるDecodeメソッドがあります。私はSystem.IdentityModel.Tokens.Jwtを使用して同様のことをしたいと思いますが、かなりの量の掘り出した後、どうやって解決するのか分かりません。

GoogleのIDフレームワークで使用するために、JWTトークンをCookieから読み込んでいます。

ご協力いただければ幸いです。

Answer 1

System.IdentityModel.Tokens.SecurityTokenHandlerから派生したJwtSecurityTokenHandlerというクラスがあります。 WIFでは、セキュリティトークンをデシリアライズおよびシリアライズするためのコアクラスです。

クラスには、base64でエンコードされたJWT文字列を取り、JWTを表すSecurityTokenが返されるReadToken(String)メソッドがあります。

SecurityTokenHandlerには、SecurityTokenがあり、ReadOnlyCollection<ClaimsIdentity>が作成されるValidateToken(SecurityToken)メソッドもあります。通常、JWTの場合、元のJWTのプロパティを表す一連の要求を持つ単一のClaimsIdentityオブジェクトが含まれます。

JwtSecurityTokenHandlerは、ValidateTokenのいくつかの追加オーバーロードを定義します。特に、オーバーロードはClaimsPrincipal ValidateToken(JwtSecurityToken, TokenValidationParameters)です。 TokenValidationParameters引数を使用すると、トークン署名証明書（X509SecurityTokensのリスト）を指定できます。また、SecurityTokenではなく、stringとしてJWTを使用するオーバーロードがあります。

これを行うコードはかなり複雑ですが、「ADAL - ネイティブアプリケーションからRESTサービス - ブラウザダイアログを使用したACSによる認証」という名前のGlobal.asax.cxコード（TokenValidationHandlerクラス）あるいは、

http://code.msdn.microsoft.com/AAL-Native-App-to-REST-de57f2cc

に位置し、JwtSecurityTokenクラスは、ClaimsIdentityコレクションを介さずに含まれる特許請求の範囲を取得Claims性などの塩基SecurityTokenクラスにない追加のメソッドを有します。 Payloadプロパティもあり、JwtPayloadオブジェクトを返します。このオブジェクトを使用すると、トークンの未処理のJSONを取得できます。それはあなたのシナリオに最も適しているかどうかによって異なります。

一般SecurityTokenHandlerクラスの（すなわち非JWT特定）のドキュメントは、アプリケーションに応じて、

http://msdn.microsoft.com/en-us/library/system.identitymodel.tokens.securitytokenhandler.aspx

であり、あなたは正確に他のハンドラのようなWIFパイプラインにJWTハンドラを設定することができます。

は1つがあなたのニーズをスイートまたは少なくともそれらに適応となり、

おそらくhttp://code.msdn.microsoft.com/site/search?f%5B0%5D.Type=SearchText&f%5B0%5D.Value=aal&f%5B1%5D.Type=User&f%5B1%5D.Value=Azure%20AD%20Developer%20Experience%20Team&f%5B1%5D.Text=Azure%20AD%20Developer%20Experience%20Team

でアプリケーションの異なるタイプで使用されていることの3つのサンプルをあります。

Answer 2

JWTトークンのデコードと検証にいくつかのライブラリを使用する理由はまったく不思議です。

エンコードJWTトークンがfollowing pseudocode

var headers = base64URLencode(myHeaders); 
var claims = base64URLencode(myClaims); 
var payload = header + "." + claims; 

var signature = base64URLencode(HMACSHA256(payload, secret)); 

var encodedJWT = payload + "." + signature; 

任意の特定のライブラリなしで行うことは非常に簡単です使用して作成することができます。次のコードを使用して：

using System; 
using System.Text; 
using System.Security.Cryptography; 

public class Program 
{ 
    // More info: https://stormpath.com/blog/jwt-the-right-way/ 
    public static void Main() 
    {   
     var header = "{\"typ\":\"JWT\",\"alg\":\"HS256\"}"; 
     var claims = "{\"sub\":\"1047986\",\"email\":\"jon.doe@eexample.com\",\"given_name\":\"John\",\"family_name\":\"Doe\",\"primarysid\":\"b521a2af99bfdc65e04010ac1d046ff5\",\"iss\":\"http://example.com\",\"aud\":\"myapp\",\"exp\":1460555281,\"nbf\":1457963281}"; 

     var b64header = Convert.ToBase64String(Encoding.UTF8.GetBytes(header)) 
      .Replace('+', '-') 
      .Replace('/', '_') 
      .Replace("=", ""); 
     var b64claims = Convert.ToBase64String(Encoding.UTF8.GetBytes(claims)) 
      .Replace('+', '-') 
      .Replace('/', '_') 
      .Replace("=", ""); 

     var payload = b64header + "." + b64claims; 
     Console.WriteLine("JWT without sig: " + payload); 

     byte[] key = Convert.FromBase64String("mPorwQB8kMDNQeeYO35KOrMMFn6rFVmbIohBphJPnp4="); 
     byte[] message = Encoding.UTF8.GetBytes(payload); 

     string sig = Convert.ToBase64String(HashHMAC(key, message)) 
      .Replace('+', '-') 
      .Replace('/', '_') 
      .Replace("=", ""); 

     Console.WriteLine("JWT with signature: " + payload + "." + sig);   
    } 

    private static byte[] HashHMAC(byte[] key, byte[] message) 
    { 
     var hash = new HMACSHA256(key); 
     return hash.ComputeHash(message); 
    } 
} 

トークン復号化はあなたが同じにする必要があります署名を検証し、算出した署名と署名の一部を比較above.Toコードのバージョンを逆転しています。

UPDATE：どのようにbase64でurlsafeエンコーディング/デコーディングは別のSO question参照してください行い、また、ウィキおよびRFC