Aliri

“访问”的 Esperanto

Aliri是一系列crate，旨在帮助构建访问控制，特别是针对以令牌为主要访问方式的Web API。

功能

aliri crate提供了对JavaScript/JSON对象签名和加密 (JOSE)标准的初步支持。有关该标准的RFC的更多信息，请参阅crate的文档。

aliri_oauth2 crate提供了一些支持，以确保令牌持有者拥有足够的作用域以允许访问。它还提供了一些使用本地或远程JSON Web密钥集 (JWKS)作为认证令牌的权威机构的功能。其中一些功能可能作为计划中的OpenID Connect (OIDC)功能的一部分被分离开来。

aliri_actix crate提供了一些用于创建actix-web web服务器的范围保护器的有用绑定。

类似地，aliri_warp crate提供了对warp web服务器的绑定，并包括用于验证端点访问的有用过滤器。

在aliri标题下的其他crate为这些主要crate提供支持功能。

JSON Web签名 (JWS)操作

支持算法

功能 hmac

• HS256, HS384, HS512

功能 rsa

• RS256, RS384, RS512
• PS256, PS384, PS512

功能 ec

• ES256, ES384

注意：由于该算法在错误接受时存在的安全漏洞，none明确不支持此库。

私钥支持，用于签名操作和生成新密钥，由private-keys功能提供。

由于无法以所需的JWK格式导入和导出生成的密钥的限制，使用openssl提取或处理所需的参数。此外，ring不支持缺少p、q、dmp1、dmq1或iqmp值的RSA私钥。这些参数强烈建议，因为它们可以加快签名计算速度，但根据JWA规范，这些参数在技术上为可选。

支持的检查

• iss精确字符串匹配
• aud精确字符串匹配（列表）
• sub正则表达式匹配
• jti谓词函数
• nbf与当前时间比较
• exp与当前时间比较
• iat最大年龄检查
• alg精确匹配（列表）

未来计划

• 支持JWE
• 支持OpenID Connect作为依赖方
• 支持获取令牌和令牌管理

替代方案

这个crate集是由我对jsonwebtoken的先前使用演变而来的，并扩展以适应实现完整的JOSE套件的更大目标。进一步的灵感来自于jsonwebtokens，特别是Verifier类型。

• jsonwebtoken
• jsonwebtokens
• frank_jwt
• biscuit

不安全代码

Aliri确实使用非常有限的不安全代码。这种不安全代码仅限于在宏中定义的一个函数，该函数用于为String和Vec<u8>值生成强类型包装。在这里，不安全是必要的，因为需要将引用类型重新解释为&str作为&MyTypeRef或&[u8]作为&Base64Ref。这种重新解释是安全的，因为围绕str的包装使用#[repr(transparent)]，这意味着包装与底层切片具有完全相同的表示。