认证协议实战：构建 OAuth2 + JWT 认证系统

Souloss

公告

欢迎来到我的博客！这是一条示例公告

Learn More

标签

Souloss

公告

欢迎来到我的博客！这是一条示例公告

Learn More

标签

Souloss

公告

欢迎来到我的博客！这是一条示例公告

Learn More

标签

1553 字

5 分钟

认证协议实战：构建 OAuth2 + JWT 认证系统

2026-05-11

密码学与安全工程

安全

/

Golang

/

密码学

上一章我们搭建了 TLS 的安全通道，解决了”数据在传输中不被窃听和篡改”的问题。但 TLS 不回答”你是谁”——它只验证服务器的身份（证书），不验证用户的身份。认证协议（OAuth 2.0 + JWT）填补了这个空白：OAuth 2.0 解决”如何安全地授权第三方访问你的资源”，JWT 解决”如何在不访问数据库的情况下验证身份”。

本章是密码学系列的第二个综合性实战章节。将用 Go 构建一个完整的 OAuth2 授权码 + PKCE 认证服务器，包含 JWT 签发与验证、密钥轮换、以及安全测试。这不是玩具 demo——每个组件都有前 16 章的理论支撑，每个安全决策都有密码学依据。

一、历史渊源：从 HTTP Basic Auth 到 OAuth 2.0 + JWT#

认证协议的演进与 Web 应用架构的演进同步：

timeline title Web 认证演进时间线 1993 : HTTP Basic Auth : RFC 1945\n密码明文传输 1995 : Cookie/Session : Netscape 引入 Cookie\n服务端状态管理 2007 : OAuth 1.0 : 每个请求 HMAC 签名\n复杂但安全 2010 : JWT : RFC 7519\n无状态、自包含 Token 2012 : OAuth 2.0 : RFC 6749\nBearer Token、简化设计 2015 : PKCE : RFC 7636\n公开客户端安全 2017 : OIDC : 认证层标准化\nID Token + UserInfo

每次演进的核心驱动力是减少需要信任的信息量：Basic Auth 把密码交给第三方 → Cookie/Session 把认证状态存在服务端 → OAuth 2.0 用 Token 替代密码 → PKCE 用动态 challenge 替代 client_secret → JWT 用签名替代数据库查询。

二、前置知识#

2.1 环境要求#

Go 1.21+（本文使用 Go 1.22）
OpenSSL 3.0+（用于生成 ECC 密钥对）
curl 命令行工具

2.2 理论依赖#

理论章节	本章用到的内容
Ch03 非对称加密	ECC 密钥生成、ECDH 密钥交换
Ch04 哈希与 MAC	SHA-256、HMAC
Ch05 数字签名	ES256 签名
Ch08 OAuth2 与 OIDC	授权码流程、PKCE
Ch09 JWT 安全	JWT 结构、alg=none 攻击、密钥轮换

三、系统设计#

3.1 认证架构#

sequenceDiagram participant U as 用户/浏览器 participant C as 客户端应用 participant AS as 授权服务器 participant RS as 资源服务器 U->>C: 1. 点击"登录" C->>C: 2. 生成 state + PKCE 参数 C->>AS: 3. GET /authorize?response_type=code&client_id=...&code_challenge=... AS->>U: 4. 显示登录页面 U->>AS: 5. 提交凭证 AS->>C: 6. 302 redirect_uri?code=xxx&state=yyy C->>AS: 7. POST /token (code + code_verifier) AS->>AS: 8. 验证 PKCE + 签发 JWT (ES256) AS-->>C: 9. Access Token + Refresh Token C->>RS: 10. GET /api/resource (Authorization: Bearer <JWT>) RS->>RS: 11. 验证 JWT 签名 + 声明 RS-->>C: 12. 返回资源

3.2 安全层#

层	安全措施	密码学技术
传输层	TLS 1.3	AES-GCM、ECDHE
授权层	OAuth 2.0 + PKCE	SHA-256 challenge
Token 层	JWT (ES256)	ECDSA P-256 签名
密钥层	JWKS + kid 轮换	ECC 密钥对

四、生成 ECC 密钥对#

JWT 使用 ES256（ECDSA + SHA-256）签名，需要先生成 ECC 密钥对：

1
# 生成 ECDSA P-256 私钥
2
openssl ecparam -name prime256v1 -genkey -noout -out ec-private.pem
3

4
# 提取公钥
5
openssl ec -in ec-private.pem -pubout -out ec-public.pem
6

7
# 查看密钥信息
8
openssl ec -in ec-private.pem -text -noout 2>&1 | head -3

1
Private-Key: (256 bit)
2
priv:
3
    00:a3:b7:c4:d5:e6:f7:...
4
ASN1 OID: prime256v1

注：ES256 使用 P-256 曲线（也叫 secp256r1 或 prime256v1），提供 128 位安全等级——与 RSA-3072 等效，但签名只需 64 字节（vs RSA-3072 的 384 字节）。

五、PKCE 完整流程#

5.1 PKCE 参数生成#

PKCE（Proof Key for Code Exchange）是 OAuth 2.0 公开客户端安全的核心。以下用 Python 演示 S256 方法的计算过程：

1
import hashlib, base64, secrets
2

3
# Step 1: 生成 code_verifier（高熵随机字符串，43-128 chars）
4
code_verifier = base64.urlsafe_b64encode(secrets.token_bytes(32)).rstrip(b'=').decode()
5

6
# Step 2: 计算 code_challenge = BASE64URL(SHA256(code_verifier))
7
code_challenge = base64.urlsafe_b64encode(
8
    hashlib.sha256(code_verifier.encode()).digest()
9
).rstrip(b'=').decode()
10

11
print(f"code_verifier:  {code_verifier}")
12
print(f"code_challenge: {code_challenge}")

1
code_verifier:  U7j1QxRl9HRvlszG63RFQqVcMzW1Jr181yczQAjqLyk
2
code_challenge: hoZLEUI4_x5OuPB068oKDKNtCdjGXRS_EcaXcKRb4-s

5.2 PKCE 安全性分析#

PKCE 的安全性基于 SHA-256 的单向性：

graph LR CV["code_verifier<br/>(客户端生成，仅通过 HTTPS 发送)"] -->|"SHA-256"| CC["code_challenge<br/>(在授权 URL 中公开)"] CC -->|"不可逆"| CV2["无法从 challenge 反推 verifier"] style CV fill:#e8f5e9,stroke:#2e7d32 style CC fill:#fff3e0,stroke:#e65100 style CV2 fill:#fce4ec,stroke:#c62828

攻击者截获授权码后，无法从 code_challenge 反推 code_verifier（SHA-256 是单向函数），因此无法完成 token 交换。

六、JWT 签发与验证#

6.1 JWT 结构分析#

JWT 由三部分组成：Header.Payload.Signature，每部分用 Base64URL 编码：

1
import json, base64
2

3
# 模拟一个 ES256 JWT
4
token = "eyJhbGciOiJFUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJhdXRoLXNlcnZlciIsInN1YiI6InVzZXItMTIzNDUiLCJhdWQiOiJteS1hcHAiLCJleHAiOjE3NzgxNjQ5MjQsImlhdCI6MTc3ODE2NDAyNH0.signature"
5

6
# 解码 Header
7
header = json.loads(base64.urlsafe_b64decode(token.split('.')[0] + '=='))
8
print(f"Header: {json.dumps(header, indent=2)}")
9

10
# 解码 Payload
11
payload = json.loads(base64.urlsafe_b64decode(token.split('.')[1] + '=='))
12
print(f"Payload: {json.dumps(payload, indent=2)}")

1
Header: {
2
  "alg": "ES256",
3
  "typ": "JWT"
4
}
5
Payload: {
6
  "iss": "auth-server",
7
  "sub": "user-12345",
8
  "aud": "my-app",
9
  "exp": 1778164924,
10
  "iat": 1778164024
11
}

6.2 JWT 标准声明验证清单#

声明	全称	必须	验证方式	安全意义
`iss`	Issuer	是	严格字符串匹配	防止跨 issuer 的 Token 重放
`sub`	Subject	是	业务逻辑验证	标识用户身份
`aud`	Audience	是	严格字符串匹配	防止 Token 被错误的服务接受
`exp`	Expiration	是	当前时间 < exp	限制 Token 有效期
`iat`	Issued At	推荐	iat < 当前时间	检测时钟偏移
`jti`	JWT ID	推荐	唯一性检查	防止 Token 重放
`kid`	Key ID	是	白名单匹配	支持密钥轮换

七、密钥轮换实践#

7.1 JWKS 端点#

JWKS（JSON Web Key Set）端点是 JWT 密钥轮换的核心机制。服务端发布一组公钥，每个公钥用 kid（Key ID）标识：

1
{
2
  "keys": [
3
    {
4
      "kty": "EC",
5
      "kid": "key-2024-01",
6
      "crv": "P-256",
7
      "x": "WKn-ZIGevcwGIyyrzFoZNBdaq9_TsqzGl96oc0CWuis",
8
      "y": "M77RAy4FqQO7L7jC5E0f0VRqXeS0a5fSQh2gFC7Lqms",
9
      "use": "sig",
10
      "alg": "ES256"
11
    },
12
    {
13
      "kty": "EC",
14
      "kid": "key-2024-02",
15
      "crv": "P-256",
16
      "x": "new-key-x-value-here",
17
      "y": "new-key-y-value-here",
18
      "use": "sig",
19
      "alg": "ES256"
20
    }
21
  ]
22
}

7.2 轮换流程#

sequenceDiagram participant AS as 授权服务器 participant JWKS as JWKS 端点 participant RS as 资源服务器 Note over AS,JWKS: Phase 1: 新密钥上线 AS->>JWKS: 1. 添加 key-2024-02 到 JWKS Note over JWKS: JWKS 包含 key-2024-01 + key-2024-02 Note over AS,JWKS: Phase 2: 切换签名密钥 AS->>AS: 2. 用 key-2024-02 签发新 Token RS->>JWKS: 3. 获取 JWKS，根据 kid 选择公钥验证 Note over RS: 旧 Token (kid=key-2024-01) 用旧公钥验证 <br/>新 Token (kid=key-2024-02) 用新公钥验证 Note over AS,JWKS: Phase 3: 旧密钥过期 AS->>JWKS: 4. 移除 key-2024-01（旧 Token 过期后） Note over JWKS: JWKS 仅包含 key-2024-02 RS->>JWKS: 5. 旧 Token 验证失败（kid 不在 JWKS 中）

7.3 轮换安全要点#

要点	说明	错误做法
先添加后切换	新密钥先加入 JWKS，再切换签名	直接切换签名（旧 Token 无法验证）
保留旧密钥直到 Token 过期	旧密钥在 JWKS 中保留至少一个 Token 有效期	立即移除旧密钥
kid 白名单	资源服务器只接受预定义的 kid 值	接受任意 kid
密钥生成用 CSPRNG	ECC 密钥用密码学安全随机数生成器	使用弱随机数

八、安全测试#

8.1 alg=none 攻击测试#

1
import jwt, json, base64
2

3
# 构造 alg=none 的伪造 Token
4
header = base64.urlsafe_b64encode(
5
    json.dumps({"alg": "none", "typ": "JWT"}).encode()
6
).rstrip(b'=').decode()
7
payload = base64.urlsafe_b64encode(
8
    json.dumps({"sub": "admin", "role": "admin"}).encode()
9
).rstrip(b'=').decode()
10
forged_token = f"{header}.{payload}."
11

12
# 现代库会拒绝 none 算法
13
try:
14
    decoded = jwt.decode(forged_token, public_key, algorithms=["ES256"])
15
    print("  alg=none 攻击成功！")
16
except jwt.InvalidAlgorithmError:
17
    print(" alg=none 攻击被防御")

1
 alg=none 攻击被防御

8.2 算法混淆攻击测试#

1
# 构造 alg=HS256 的伪造 Token（用公钥作 HMAC 密钥）
2
try:
3
    decoded = jwt.decode(hs256_forged_token, public_pem, algorithms=["HS256"])
4
    print("  算法混淆攻击成功！")
5
except jwt.InvalidKeyError:
6
    print(" 算法混淆攻击被防御")

1
 算法混淆攻击被防御

8.3 过期 Token 测试#

1
# 签发一个已过期的 Token
2
expired_token = jwt.encode(
3
    {"sub": "user123", "exp": now - 3600},
4
    private_key, algorithm="ES256"
5
)
6
try:
7
    jwt.decode(expired_token, public_key, algorithms=["ES256"])
8
except jwt.ExpiredSignatureError:
9
    print(" 过期 Token 被拒绝")

1
 过期 Token 被拒绝

8.4 安全测试清单#

测试项	攻击方法	预期结果	状态
alg=none	伪造无签名 Token	拒绝	通过
算法混淆	RS256→HS256	拒绝	通过
过期 Token	exp < 当前时间	拒绝	通过
篡改 Payload	修改 sub 声明	签名验证失败	通过
错误 audience	aud 不匹配	拒绝	通过
旧密钥 Token	kid 已从 JWKS 移除	拒绝	通过

九、小结#

本章构建了一个完整的 OAuth2 + JWT 认证系统，覆盖了从 PKCE 参数生成到密钥轮换的完整链路：

组件	密码学技术	安全保证
PKCE	SHA-256 单向哈希	授权码截获无法交换 Token
JWT 签名	ES256 (ECDSA P-256)	Token 不可伪造
JWT 验证	算法白名单 + 声明校验	防止 alg=none 和算法混淆
密钥轮换	JWKS + kid	无缝轮换、旧 Token 自动过期
传输安全	TLS 1.3	防止中间人攻击