目录

    在对 JWT 进行 Base64 解码时,发现 JSON 数据不完整。本文主要介绍相关知识点并解决这个问题。

    1. JWT 简介

    JWT 通过在 Header 中设置 Authorization: Bearer <token> 进行认证的传递。

    JWT Token 是一个 . 连接的 Base64 编码字符串,类似这样 Header.Payload.Signature ,有三部分组成:

    • Header ,定义 Token 类型和加密算法
    {
      "alg": "HS256",
      "typ": "JWT"
    }
    
    • Payload ,负载信息,通常是 iss(签发者),exp(过期时间),sub(面向的用户),aud(接收方),iat(签发时间)等
    {
      "sub": "1234567890",
      "name": "John Doe",
      "admin": true
    }
    
    • Signature ,对 Base64 编码的 Header 和 Playload 进行签名,防止信息被篡改。
    HMACSHA256(
      base64UrlEncode(header) + "." +
      base64UrlEncode(payload),
      your-256-bit-secret
    )
    

    jwt.io 提供了一个在线解析 Token 的工具。

    2. Base64 解码

    “encoding/base64” 提供了四种编码和解码的方法:

    • StdEncoding , 常规编码,不足 3 倍时,使用 = 补齐
    • URLEncoding , URL safe 编码,替换掉字符串中的特殊字符 +/ 转化成 -_
    • RawStdEncoding , 常规编码,末尾不补 =
    • RawURLEncoding , URL safe 编码,末尾不补 =

    下面,通过具体代码,看看它们之间的差别。

    package main
    
    import (
        "encoding/base64"
        "fmt"
    )
    
    func coding(msg []byte){
        fmt.Println("Input :", string(msg))
    
        encoded := base64.StdEncoding.EncodeToString(msg)
        fmt.Println("StdEncoding :", encoded)
        decoded, _ := base64.StdEncoding.DecodeString(encoded)
        fmt.Println("StdEncoding :", string(decoded))
    
        encoded = base64.URLEncoding.EncodeToString(msg)
        fmt.Println("URLEncoding :", encoded)
        decoded, _ = base64.URLEncoding.DecodeString(encoded)
        fmt.Println("URLEncoding :", string(decoded))
    
        encoded = base64.RawStdEncoding.EncodeToString(msg)
        fmt.Println("RawStdEncoding :", encoded)
        decoded, _ = base64.RawStdEncoding.DecodeString(encoded)
        fmt.Println("RawStdEncoding :", string(decoded))
    
        encoded = base64.RawURLEncoding.EncodeToString(msg)
        fmt.Println("RawURLEncoding :", encoded)
        decoded, _ = base64.RawURLEncoding.DecodeString(encoded)
        fmt.Println("RawURLEncoding :", string(decoded))
    }
    
    func main() {
        // 补齐
        coding([]byte("https://www.chenshaowen.com/"))
        // URL Safe 编码
        coding([]byte("abc123!?$*&()'[email protected]~"))
    
    }
    
    Input : https://www.chenshaowen.com/
    StdEncoding : aHR0cHM6Ly93d3cuY2hlbnNoYW93ZW4uY29tLw==
    StdEncoding : https://www.chenshaowen.com/
    URLEncoding : aHR0cHM6Ly93d3cuY2hlbnNoYW93ZW4uY29tLw==
    URLEncoding : https://www.chenshaowen.com/
    RawStdEncoding : aHR0cHM6Ly93d3cuY2hlbnNoYW93ZW4uY29tLw
    RawStdEncoding : https://www.chenshaowen.com/
    RawURLEncoding : aHR0cHM6Ly93d3cuY2hlbnNoYW93ZW4uY29tLw
    RawURLEncoding : https://www.chenshaowen.com/
    Input : abc123!?$*&()'[email protected]~
    StdEncoding : YWJjMTIzIT8kKiYoKSctPUB+
    StdEncoding : abc123!?$*&()'[email protected]~
    URLEncoding : YWJjMTIzIT8kKiYoKSctPUB-
    URLEncoding : abc123!?$*&()'[email protected]~
    RawStdEncoding : YWJjMTIzIT8kKiYoKSctPUB+
    RawStdEncoding : abc123!?$*&()'[email protected]~
    RawURLEncoding : YWJjMTIzIT8kKiYoKSctPUB-
    RawURLEncoding : abc123!?$*&()'[email protected]~
    

    从输出的结果来看:

    1. Stdxxx 会对 Base64 编码执行补齐
    2. URLxxx 会对 Base64 编码进行转码

    Base64 是公开的标准编码规则,但不同的库实现时,暴露出来的接口会有差异,使用正确的接口才能获得预期的结果。

    3. JWT Playload 少了一部分

    下面这段代码截取了 Playload 部分进行解析:

    package main
    
    import (
        "encoding/base64"
        "fmt"
    )
    
    func main() {
        decoded := "eyJ1c2VybmFtZSI6ImFkbWluIiwidWlkIjoiYjhiZTZlZGQtMmM5Mi00NTM1LTliMmEtZGY2MzI2NDc0NDU4IiwiaWF0IjoxNTkxMzU0MDEwLCJpc3MiOiJrdWJlc3BoZXJlIiwibmJmIjoxNTkxMzU0MDEwfQ"
        encoded, _ := base64.StdEncoding.DecodeString(decoded)
        fmt.Println(string(encoded))
    }
    

    得到结果:

    {"username":"admin","uid":"b8be6edd-2c92-4535-9b2a-df6326474458","iat":1591354010,"iss":"","nbf":1591354010
    

    发现,这并不是一个完整的 Json 对象。在 dgrijalva/jwt-go 库中,可以看到 EncodeSegment 函数的实现:

    // Encode JWT specific base64url encoding with padding stripped
    func EncodeSegment(seg []byte) string {
        return strings.TrimRight(base64.URLEncoding.EncodeToString(seg), "=")
    }
    

    显然,dgrijalva/jwt-go 使用的是 RawURLEncoding 的方式进行编码。

    调整之后,执行下面这段代码:

    package main
    
    import (
        "encoding/base64"
        "fmt"
    )
    
    func main() {
        decoded := "eyJ1c2VybmFtZSI6ImFkbWluIiwidWlkIjoiYjhiZTZlZGQtMmM5Mi00NTM1LTliMmEtZGY2MzI2NDc0NDU4IiwiaWF0IjoxNTkxMzU0MDEwLCJpc3MiOiJrdWJlc3BoZXJlIiwibmJmIjoxNTkxMzU0MDEwfQ"
        encoded, _ := base64.RawURLEncoding.DecodeString(decoded)
        fmt.Println(string(encoded))
    }
    

    得到正确结果:

    {"username":"admin","uid":"b8be6edd-2c92-4535-9b2a-df6326474458","iat":1591354010,"iss":"","nbf":1591354010}
    

    另外一种方式是,使用 dgrijalva/jwt-go 内置的解析器,提供完整的 JWT Token 进行解析。可以看看下面这段代码:

    package main
    
    import (
        "github.com/dgrijalva/jwt-go"
        "fmt"
    )
    
    func main() {
        decoded := "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6ImFkbWluIiwidWlkIjoiYjhiZTZlZGQtMmM5Mi00NTM1LTliMmEtZGY2MzI2NDc0NDU4IiwiaWF0IjoxNTkxMzU0MDEwLCJpc3MiOiJrdWJlc3BoZXJlIiwibmJmIjoxNTkxMzU0MDEwfQ.psKkj8vYWm9Crf9jnbB_PNestLNksaS9vuMvQI3C-dU"
        type Claims struct {
            Username string `json:"username"`
            UID      string `json:"uid"`
            jwt.StandardClaims
        }
    
        claim := Claims{}
        parser := jwt.Parser{}
        parser.ParseUnverified(decoded, &claim)
        fmt.Println(claim.Username)
    }
    

    得到预期结果:

    admin
    

    4. 参考