Golang和Goa的JWT申请中不存在的作用域

Question

我正在使用优秀的goa包在Go中生成我的应用程序接口。

然而，我的安全中间件有一个问题，当我向我的控制器提交一个持有者令牌时，我得到了“授权失败”，因为“作用域:空”。我使用Auth0进行身份验证，它正在生成持有者令牌。Postman中的确切错误是：

{"id":"xOUR882s","code":"jwt_security_error","status":401,"detail":"authorization failed: required 'scopes' not present in JWT claim","meta":{"required":["read:meta"],"scopes":null}}

但是，我的令牌确实包含了所需的作用域read:meta。jwt.io返回如下解码后的承载：

{
  "iss": "https://learnlogic.au.auth0.com/",
  "sub": "exJMkK7hXX56lrLwoTqna3s0jh7Gq67e@clients",
  "aud": "https://api.learn-logic.com",
  "exp": 1494855336,
  "iat": 1494768936,
  "scopes": "read:meta"
}

我希望有人能帮我弄清楚为什么，因为我不太明白在goa项目中发生了什么，可能会被发现为here。我唯一的想法是Auth0格式的载体的一些东西与middleware/jwt.go中的parseClaimScopes函数不兼容，但我不知道是什么。

我有以下main.go代码：

b, err := ioutil.ReadFile("util/jwt.key")
    if err != nil {
        return
    }

    block, _ := pem.Decode([]byte(b))
    var cert *x509.Certificate
    cert, _ = x509.ParseCertificate(block.Bytes)
    rsaPublicKey := cert.PublicKey.(*rsa.PublicKey)
    fmt.Println(rsaPublicKey.N)
    fmt.Println(rsaPublicKey.E)
    fmt.Println(cert)

    var keyx = []jwt.Key{rsaPublicKey}

    var jwtResolver = jwt.NewSimpleResolver(keyx)

    app.UseJWTMiddleware(service, jwt.New(jwtResolver, nil, app.NewJWTSecurity()))

我正在读取的证书与jwt.io中用于解码持有者令牌的证书相同。

任何帮助都是非常感谢的。

Answer 1

根据这个票证https://github.com/goadesign/goa/issues/1228，问题是由于只支持具有单数名称"scope“的声明，而不是复数”scope“。这个PR https://github.com/goadesign/goa/pull/1399，添加了复数版本。