JWT 検証ライブラリ

Google の署名を楽に検証する

鍵をインスタンスキャッシュしてるが、format 変われば使い回されない

code:verify-google-auth-librar.ts

import { OAuth2Client, LoginTicket, TokenPayload } from 'google-auth-library';

const authClient = new OAuth2Client();

const bearer = req.header('Authorization') || '';

authClient.verifyIdToken({

idToken: token,

audience: options.audience,

}).then((ticket: LoginTicket) => {

const claims = ticket.getPayload();

...

});

こういう Express middleware を作っておくと楽

code:express-verify-middleware.ts

import { OAuth2Client, LoginTicket, TokenPayload } from 'google-auth-library';

import createError = require('http-errors');

import { Request, Response, NextFunction } from 'express';

export interface RequestWithClaims extends Request {

claims: TokenPayload | undefined;

}

interface Options {

email: string;

audience: string;

}

export function verify(options: Options) {

const authClient = new OAuth2Client();

return (req: Request, res: Response, next: NextFunction) => {

const bearer = req.header('Authorization') || '';

authClient

.verifyIdToken({

idToken: token,

audience: options.audience,

})

.then((ticket: LoginTicket) => {

const claims = ticket.getPayload();

(req as RequestWithClaims).claims = claims;

if (options.email !== claims?.email) {

}

next();

})

.catch(err => next(createError(403, err)));

};

decode

verify

第二引数に鍵をフェッチする callback を渡せる

deprecated なのだがこれを渋々使う?

github.com/lestrrat/go-jwx

code:jws_verify.go

payload, err := jws.VerifyWithJWKSet([]byte(tokenString), set, nil)

if err != nil {

log.Fatalf("%+v", err)

}

fmt.Printf("%+v\n", string(payload))

メッセージの header から kid を取り出してほしくなさそうな実装

refresh されうる複数の公開鍵をキャッシュしつつ使う、というときに噛みわない

まあこういう感じに組み合わせると楽だけども...