ASP.NET核心JWT -- HmacSha512算法和HmacSha512Signature算法有什么不同？

Question

在SecurityAlgorithms类中有两个类似的选项。应该使用哪一个来签名JWT令牌？有什么不同吗？

Answer 1

区别在于令牌的标头，特别是alg属性。当您使用HmacSha512时，标题如下所示：

{
  "alg": "HS512",
  "typ": "JWT"
}

但是，当您使用HmacSha512Signature时，标题如下所示：

{
  "alg": "http://www.w3.org/2001/04/xmldsig-more#hmac-sha512",
  "typ": "JWT"
}

您可以使用https://jwt.io/确认这一点。

当我有同样的问题时，我发现许多库(大多是.NET之外的库)将而不是支持http://www.w3.org/2001/04/xmldsig-more#hmac-sha512作为alg属性的有效值，因为它没有包含在JSON Web算法RFC，3.1节中。

相关讨论1：https://github.com/auth0/node-jsonwebtoken/issues/662

相关讨论2：https://giters.com/jwtk/jjwt/issues/676

所以我个人决定使用HmacSha512。如果您的整个系统都是在.NET生态系统中开发的，那么您可以使用这两种系统，它们的工作方式也是一样的，但是如果令牌可以被非.NET的应用程序使用，那么最好使用HmacSha512。

Answer 2

JWT没有功能上的区别；在遮罩下，HmacSha512Signature被转换为HmacSha512。

我有限的理解是，它们是不同的常数，它们代表着相同的底层算法。Signature版本是用XML表示算法的标识符，而那些没有后缀映射到JWT使用的算法标识符的版本。

旧文件包含关于对签名参数使用以“签名”结尾的算法的注释，但最新文件不再包含该注释。我怀疑签名版本是由于遗留和向后兼容的原因而保留的。