一尘不染

如何在Go中从AWS Cognito验证JWT令牌?

go

如何验证从Amazon Cognito收到的JWT并从中获取信息?

我已经在Cognito中设置了Google身份验证,并将重定向uri设置为打API Gateway,然后收到了我发布到此端点的代码:

https://docs.aws.amazon.com/cognito/latest/developerguide/token-
endpoint.html

要接收JWT令牌,采用RS256格式。我现在正在努力验证和解析Golang中的令牌。我尝试使用jwt-
go解析它,但默认情况下它似乎支持HMAC并阅读他们建议使用前端验证的地方。我尝试了其他一些软件包,并遇到了类似的问题。
但是假设代码已经过时,就像刚才说的那样panic: unable to find key

jwt.io可以轻松解码密钥,并且可能也进行验证。我不确定公钥/密钥在Amazon生成令牌时的位置,但是据我了解,我也需要使用JWK
URL进行验证吗?我找到了一些特定于AWS的解决方案,但它们似乎都长达数百行。当然,在Golang中不是那么复杂吗?


阅读 289

收藏
2020-07-02

共1个答案

一尘不染

Amazon Cognito的公钥

正如您已经猜到的那样,您将需要公共密钥才能验证JWT令牌。

https://docs.aws.amazon.com/cognito/latest/developerguide/amazon-cognito-
user-pools-using-tokens-verifying-a-jwt.html#amazon-cognito-user-pools-using-
tokens-第2步

为您的用户池下载并存储相应的公共JSON Web密钥(JWK)。它可作为JSON Web密钥集(JWKS)的一部分使用。您可以在https://
cognito-idp上
找到它 。{region} .amazonaws.com /
{userPoolId} /。well-known / jwks.json

解析密钥并验证令牌

该JSON文件结构已在网络中记录,因此您可以潜在地手动解析,生成公钥等。

但是只使用一个库可能会更容易,例如,一个库:https :
//github.com/lestrrat-go/jwx

然后jwt-go处理JWT部分:https :
//github.com/dgrijalva/jwt-go

然后,您可以:

1)使用第一个库下载并解析公共密钥JSON

keySet, err := jwk.Fetch(THE_COGNITO_URL_DESCRIBED_ABOVE)

2)使用jwt-go解析令牌时,请使用JWT标头中的“ kid”字段来找到要使用的正确密钥

token, err := jwt.Parse(tokenString, func(token *jwt.Token) (interface{}, error) {
    if _, ok := token.Method.(*jwt.SigningMethodRS256); !ok {
        return nil, fmt.Errorf("Unexpected signing method: %v", token.Header["alg"])
    }
    kid, ok := token.Header["kid"].(string)
    if !ok {
        return nil, errors.New("kid header not found")
    }
    keys := keySet.LookupKeyID(kid);
    if len(keys) == 0 {
         return nil, fmt.Errorf("key %v not found", kid)
    }
    return keys[0].Materialize()        
})
2020-07-02