当前位置：文江博客话题详情

如何对 JSON 对象进行加密哈希？

发布于 2024-10-11 12:13:06 字数 458 浏览 12 评论 0原文

下面的问题比乍看起来更复杂。

假设我有一个任意 JSON 对象，该对象可能包含任意数量的数据，包括其他嵌套的 JSON 对象。我想要的是 JSON 数据的加密哈希/摘要，而不考虑实际的 JSON 格式本身（例如：忽略换行符和 JSON 令牌之间的间距差异）。

最后一部分是一项要求，因为 JSON 将由许多不同平台上的各种（反）序列化器生成/读取。我知道至少有一个 Java JSON 库可以在反序列化期间读取数据时完全删除格式。因此它会破坏哈希值。

上面的任意数据子句也使事情变得复杂，因为它阻止我按照给定的顺序获取已知字段并在进行哈希之前将它们连接起来（大致考虑一下 Java 的非加密 hashCode() 方法是如何工作的）。

最后，将整个 JSON 字符串散列为字节块（在反序列化之前）也是不可取的，因为在计算散列时应忽略 JSON 中的某些字段。

我不确定这个问题有一个好的解决方案，但我欢迎任何方法或想法=）

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

握住你手 2024-10-18 12:13:06

在计算任何允许灵活性的数据格式的哈希值时，这个问题是一个常见问题。为了解决这个问题，您需要对表示进行规范化。

例如，Twitter 和其他服务用于身份验证的 OAuth1.0a 协议需要请求消息的安全哈希值。要计算哈希值，OAuth1.0a 表示您需要首先按字母顺序排列字段，用换行符分隔它们，删除字段名称（众所周知），并使用空行表示空值。签名或散列是根据该规范化的结果计算的。

XML DSIG 的工作方式相同 - 您需要在签名之前对 XML 进行规范化。有一个拟议的 W3 标准涵盖了这一点，因为这是一个基本要求签署。有些人称之为 c14n。

我不知道 json 的规范化标准。值得研究。

如果没有，您当然可以为您的特定应用程序使用建立一个约定。合理的开始可能是：

按名称按字典顺序对属性进行排序
在所有名称上使用双引号
在所有字符串值上使用双引号
在名称和冒号之间以及冒号和值之间没有空格或一个空格值
之间没有空格和以下逗号
所有其他空白折叠为单个空格或无 - 选择一个
排除您不想签名的任何属性（一个示例是保存签名本身的属性）
使用您选择的算法对结果进行签名

您可能还想考虑如何在 JSON 对象中传递该签名 - 可能会建立一个众所周知的属性名称，例如“nichols-hmac”或其他名称，以获取哈希的 Base64 编码版本。散列算法必须明确排除该属性。然后，任何 JSON 接收者都可以检查哈希值。

规范化表示不必是您在应用程序中传递的表示。只需给定任意 JSON 对象即可轻松生成它。

回复收藏 0 原文

悸初 2024-10-18 12:13:06

您可能不想发明自己的 JSON 标准化/规范化，而是使用 bencode。从语义上讲，它与 JSON（数字、字符串、列表和字典的组合）相同，但具有加密哈希所需的明确编码属性。

Bencode 用作 Torrent 文件格式，每个 BitTorrent 客户端都包含一个实现。

回复收藏 0 原文

回忆凄美了谁 2024-10-18 12:13:06

这与导致 S/MIME 签名和 XML 签名出现问题的问题相同。也就是说，待签名的数据有多种等效表示。

例如，在 JSON 中：

{  "Name1": "Value1", "Name2": "Value2" }

vs.

{
    "Name1": "Value\u0031",
    "Name2": "Value\u0032"
}

Or 根据您的应用程序，这甚至可能是等效的：

{
    "Name1": "Value\u0031",
    "Name2": "Value\u0032",
    "Optional": null
}

规范化可以解决该问题，但这是您根本不需要的问题。

如果您可以控制规范，那么简单的解决方案是将对象包装在某种容器中，以防止其转换为“等效”但不同的表示形式。

即通过不签署“逻辑”对象而是签署它的特定序列化表示来避免该问题。

例如，JSON 对象 -> UTF-8 文本 ->字节。将字节签名为字节，然后将它们作为字节传输，例如通过base64编码。由于您正在对字节进行签名，因此空格之类的差异是签名内容的一部分。

不要尝试这样做：

{  
   "JSONContent": {  "Name1": "Value1", "Name2": "Value2" },
   "Signature": "asdflkajsdrliuejadceaageaetge="
}

只需这样做：

{
   "Base64JSONContent": "eyAgIk5hbWUxIjogIlZhbHVlMSIsICJOYW1lMiI6ICJWYWx1ZTIiIH0s",
   "Signature": "asdflkajsdrliuejadceaageaetge="

}

即不要签署 JSON，而是签署编码 JSON 的字节。

是的，这意味着签名不再透明。

This is the same issue as causes problems with S/MIME signatures and XML signatures. That is, there are multiple equivalent representations of the data to be signed.

For example in JSON:

{  "Name1": "Value1", "Name2": "Value2" }

vs.

{
    "Name1": "Value\u0031",
    "Name2": "Value\u0032"
}

Or depending on your application, this may even be equivalent:

{
    "Name1": "Value\u0031",
    "Name2": "Value\u0032",
    "Optional": null
}

Canonicalization could solve that problem, but it's a problem you don't need at all.

The easy solution if you have control over the specification is to wrap the object in some sort of container to protect it from being transformed into an "equivalent" but different representation.

I.e. avoid the problem by not signing the "logical" object but signing a particular serialized representation of it instead.

For example, JSON Objects -> UTF-8 Text -> Bytes. Sign the bytes as bytes, then transmit them as bytes e.g. by base64 encoding. Since you are signing the bytes, differences like whitespace are part of what is signed.

Instead of trying to do this:

{  
   "JSONContent": {  "Name1": "Value1", "Name2": "Value2" },
   "Signature": "asdflkajsdrliuejadceaageaetge="
}

Just do this:

{
   "Base64JSONContent": "eyAgIk5hbWUxIjogIlZhbHVlMSIsICJOYW1lMiI6ICJWYWx1ZTIiIH0s",
   "Signature": "asdflkajsdrliuejadceaageaetge="

}

I.e. don't sign the JSON, sign the bytes of the encoded JSON.

Yes, it means the signature is no longer transparent.

回复收藏 0 原文

逆光飞翔i 2024-10-18 12:13:06

JSON-LD 可以进行规范化。

您必须定义您的上下文。

回复收藏 0 原文

高冷爸爸 2024-10-18 12:13:06

RFC 7638：JSON Web 密钥 (JWK) 指纹包括一种规范化类型。尽管 RFC7638 期望成员数量有限，但我们可以对任何成员应用相同的计算。

https://www.rfc-editor.org/rfc/rfc7638#section- 3

回复收藏 0 原文

孤独患者 2024-10-18 12:13:06

理想的情况是 JavaScript 本身为 JavaScript 对象定义了一个正式的哈希过程。

然而我们确实有 RFC-8785 JSON 规范化方案 (JCS) 希望可以在大多数 JSON 库中实现，特别是添加到流行的 JavaScript JSON 对象中。完成标准化后，只需应用您首选的哈希算法即可。

如果 JCS 在浏览器和其他工具和库中可用，那么期望大多数在线 JSON 采用这种常见的规范化形式就变得合理了。像这样的标准的共同一致应用和验证可以在一定程度上抵御微不足道的安全威胁。

回复收藏 0 原文

桃酥萝莉 2024-10-18 12:13:06

我会按照给定的顺序（例如按字母顺序）处理所有字段。为什么任意数据都会产生影响？您可以只迭代属性（ala 反射）。

或者，我会考虑将原始 json 字符串转换为某种定义明确的规范形式（删除所有多余的格式） - 并对其进行哈希处理。

回复收藏 0 原文

破晓 2024-10-18 12:13:06

我们在对 JSON 编码的有效负载进行哈希处理时遇到了一个简单的问题。
在我们的例子中，我们使用以下方法：

将数据转换为 JSON 对象；
中对 JSON 有效负载进行 Base64 消息摘要 (HMAC) 编码
在生成的 Base64 有效负载
。传输base64有效负载。

使用此解决方案的优点：

Base64 将为给定的有效负载生成相同的输出。
由于生成的签名将直接从 Base64 编码的有效负载派生，并且由于 Base64 有效负载将在端点之间交换，因此我们将确保签名和有效负载将得到维护。
该方案解决了由于特殊字符编码差异而产生的问题。

缺点

有效负载的编码/解码可能会增加开销
Base64 编码的数据通常比原始有效负载大 30+%。

回复收藏 0 原文

倾城泪 2024-10-18 12:13:06

所以我不确定为什么这里没有提到库，但你可以使用类似的东西https://www.npmjs.com/package/@tufjs/canonical-json 作为第一步，然后是您选择的任何哈希算法。

回复收藏 0 原文

~没有更多了~

关于作者

唔猫

暂无简介

文章

25 人气

关注发私信

友情链接

文江博客

如何对 JSON 对象进行加密哈希？

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

评论（9）

关于作者

相关话题

热门标签

推荐作者

╰ゝ天使的微笑

少女净妖师

朱洁

觉浅

滥情空心

hl1314520

友情链接

如何对 JSON 对象进行加密哈希？

如果你对这篇内容有疑问，欢迎到本站社区发帖提问 参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

评论（9）

关于作者

相关话题

热门标签

推荐作者

╰ゝ天使的微笑

少女净妖师

朱洁

觉浅

滥情空心

hl1314520

友情链接

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。