[英]How to verify JWT with JWK - PHP
我正在使用身份服务器和 OpenId 连接,因为我需要以更动态的方式和不同语言的多个微服务进行实施,我试图了解流程并使用不同的堆栈进行实施,而不依赖于客户端 SDK由我们使用的特定身份服务器提供商提供。 (在生产中,我们很可能会使用一些已经构建的库,但我现在的意图是从头开始掌握验证的概念)
现在我正在尝试模拟我们已经拥有访问和 id 令牌并将它们发送到简单的 REST PHP function 的情况,并且:
(不相关,但我使用授权代码流生成了 access_token -> PKCE)
这是我的验证流程,我正在使用 jose-php 包:
# public key
$components = array(
'kty' => 'RSA',
'e' => 'AQAB',
'n' => 'x9vNhcvSrxjsegZAAo4OEuo...'
);
$public_key= JOSE_JWK::decode($components);
$jwt_string = 'eyJ...'; // Access_token
$jws = JOSE_JWT::decode($jwt_string);
$result = $jws->verify($public_key, 'RS256');
但是,这会为 $result 返回 undefined。 我正在调试 PHP 脚本的其他部分,一旦找到修复程序,我将在这里与大家分享我的结果,但我认为有更好的方法(不是使用提供商专有的客户端 SDK)来执行此流程并且很有可能我错过了一些东西。
如果有人有 JWT 令牌验证的背景,使用 PHP 进行身份服务器验证,如果您可以在这里分享任何更好的替代方案或建议,那就太好了
先感谢您:)
我切换到firebase/php-jwt ,因为它使用起来更加方便和直接,而且通过其代码快速 go 相当容易,并且不再返回 undefined。 现在验证的中间件代码如下所示:
$jwks = ['keys' => [[], []];
// JWK::parseKeySet($jwks) returns an associative array of **kid** to private
// key. Pass this as the second parameter to JWT::decode.
// Instead of RS256 use your own algo
// $data can return error so wrap it in try catch and do as you desire afterward
$data= (array) JWT::decode("YOUR_ACCESS_TOKEN", JWK::parseKeySet($jwks), ['RS256', 'RS256']);
对于那些愿意测试示例编码和解码过程的人,请随意使用下面的私钥和公钥:(感谢 firebase 文档,我稍作调整,将其转换为简单的 Laravel 控制器)
<?php
namespace App\Http\Controllers;
use Illuminate\Http\Request;
use \Firebase\JWT\JWT;
use \Firebase\JWT\JWK;
use Illuminate\Support\Facades\Http;
class JWTValidation extends Controller
{
public function bundle(){
$privateKey = <<<EOD
-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----
EOD;
$publicKey = <<<EOD
-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC8kGa1pSjbSYZVebtTRBLxBz5H
4i2p/llLCrEeQhta5kaQu/RnvuER4W8oDH3+3iuIYW4VQAzyqFpwuzjkDI+17t5t
0tyazyZ8JXw+KgXTxldMPEL95+qVhgXvwtihXC1c5oGbRlEDvDF6Sa53rcFVsYJ4
ehde/zUxo6UvS7UrBQIDAQAB
-----END PUBLIC KEY-----
EOD;
$payload = array(
"iss" => "example.org",
"aud" => "example.com",
"iat" => 1356999524,
"nbf" => 1357000000
);
$jwt = JWT::encode($payload, $privateKey, 'RS256');
//echo "Encode:\n" . print_r($jwt, true) . "\n";
$decoded = JWT::decode($jwt, $publicKey, array('RS256'));
/*
NOTE: This will now be an object instead of an associative array. To get
an associative array, you will need to cast it as such:
*/
$decoded_array = (array) $decoded;
return response()->json(['jwt' => $jwt, 'decoded' => $decoded]);
//echo "Decode:\n" . print_r($decoded_array, true) . "\n";
}
}
现在再次回到我的第一个问题:)
如果我在这个库的帮助下验证密钥作为第一段代码,我是否暴露了任何漏洞? 或者从长远来看,维护这样的自定义验证流程会是一项耗时的任务吗?
我现在处于相同的过程中:)。
现在最大的缺点是我必须首先解码 JWT 以提取 iss 端点,然后调用 .well-known/openid-configuration 端点,从那里额外获取正确的密钥并使用正确的密钥信息再次验证 JWT。
我现在正在手动执行此操作,因为我不知道有任何支持此功能的库。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.