如何在旧框架中验证 JWS？

Question

我们有一个较旧的 CMS (Kentico 11)，它基于 ASP.NET（不是 Core、不是 Blazor、不是 MVC）。由于各种原因，我们不能很快更换它。作为逐步替换我们的 Web 产品的过程的一部分，我们希望构建一个针对我们的 Azure AD B2C 租户进行身份验证的组件，以便旧的 CMS 内容和我们推出的新组件可以使用相同的身份验证机构。

显然，这个较旧的代码库不包含对更新的 Microsoft Identity 交互的任何支持。我们无法使用任何 Microsoft.Identity 库，因为整个项目是为 .NET Core 构建的。我们可以成功地将身份验证移交给 B2C 工作流程并取回 Open ID 令牌，并且我们可以读取令牌中的声明。我们还成功地读取了公钥指数和模数，以验证 b2clogin.com 站点的令牌签名。我们不知道如何做的是实际验证签名。我们发现的几乎每一篇文章都说，在这个过程中，“使用您最喜欢的库验证签名”。

我们不知道如何找到一个可以在这个级别上帮助我们的库。如上所述，用于此目的的所有 Microsoft 库都需要 .NET Core 或更新版本的 .NET Framework。我们确实遇到了 Bouncy Castle 项目 (https://www.bouncycastle.org/csharp/index .html），但其 API 的 C# 版本显然没有文档，因此我们不确定如何利用它。

所以，基本上：我们有 B2C 公钥，并且有令牌签名，如果我理解我所读到的内容，它是令牌其余部分的私钥加密摘要。我们实际上用这些做什么？是解密签名并匹配摘要的问题，还是还有更多内容？或者更好的是，是否有一个与 Framework 4.6.1 兼容的库知道如何执行此操作，并且具有对 JWT 和加密新手有意义的文档？

Answer 1

一旦您掌握了正确的信息，事情就会变得非常简单。将签名、令牌的其余部分减去签名以及公钥模数和指数转换为字节数组后，这就是全部内容：

var rsa = new RSACryptoServiceProvider();
rsa.ImportParameters(new RSAParameters { Exponent = exponent, Modulus = modulus });

bool isSignatureVerified = rsa.VerifyData(tokenMinusSignature, CryptoConfig.MapNameToOID(hashAlgorithmFromTokenHeader), signature);

如上所述，我们对如何验证的理解几乎是正确的。重要的缺失部分是加密和签名之间的区别，在这里以令人钦佩的清晰解释：https://www.cs.cornell.edu/courses/cs5430/2015sp/notes/rsa_sign_vs_dec.php