如何使用 JWK 验证 JWT - PHP

【问题标题】:How to verify JWT with JWK - PHP如何使用 JWK 验证 JWT - PHP
【发布时间】:2021-05-09 18:56:25
【问题描述】:

我正在使用身份服务器和 OpenId 连接,因为我需要以更动态的方式和不同语言的多个微服务进行实施,所以我试图理解流程并使用不同的堆栈进行实施,而不依赖于我们正在使用的特定身份服务器提供商提供的客户端 SDK。 (在生产中,我们很可能会使用一些已经构建的库,但我现在的意图是从头开始掌握验证的概念)

现在我正在尝试模拟我们已经拥有访问和 ID 令牌并将它们发送到一个简单的 REST PHP 函数的情况,并且:

  • 验证 JWT 签名
  • 令牌过期检查
  • 范围和受众的验证
  • 将用户名传回前端

(不相关,但我使用授权代码流生成了 access_token -> PKCE)

这是我的验证流程,我正在使用 jose-php 包:

# public key
$components = array(
    'kty' => 'RSA',
    'e' => 'AQAB',
    'n' => 'x9vNhcvSrxjsegZAAo4OEuo...'
);


$public_key= JOSE_JWK::decode($components);



$jwt_string = 'eyJ...'; // Access_token
$jws = JOSE_JWT::decode($jwt_string);
$result = $jws->verify($public_key, 'RS256');

但是,这会为 $result 返回 undefined。我正在调试 PHP 脚本的其他部分,一旦找到修复程序,我将在这里与大家分享我的结果,但我认为有更好的方法(不是使用提供商专有的客户端 SDK)来执行此流程,并且很有可能我错过了什么。

如果有人有使用 PHP 进行身份服务器的 JWT 令牌验证的背景,如果您能在这里分享任何更好的替代方案或建议来做这件事,那就太好了

提前谢谢你:)

【问题讨论】:

  • 也许你可以使用像github.com/lcobucci/jwt这样的包
  • 感谢您的留言,我刚刚检查了包裹,但在文档中看不到任何针对公钥的验证(可能我很快通过了),是否涵盖 JWK 和 JWS?
  • 您好,我今天详细阅读了文档,它支持签名验证(对上一个问题感到抱歉),并且似乎比 jose-php 更容易使用。一旦我对 jose-php 的测试完成后,我也会尝试这个库,再次感谢您的建议 :)

标签: php jwt openid-connect identity public-key


【解决方案1】:

对于任何寻求 jwks 简单验证中间件的人来说,这是一个答案,可能不适合生产!!!非常欢迎您提出更好的解决方案:)

我切换到 firebase/php-jwt,因为它使用起来更加方便和直接,而且快速浏览它的代码也相当容易,而且它不再返回 undefined。现在验证的中间件代码如下所示:

$jwks = ['keys' => [[], []]; 

// JWK::parseKeySet($jwks) returns an associative array of **kid** to private

// key. Pass this as the second parameter to JWT::decode. 
// Instead of RS256 use your own algo
// $data can return error so wrap it in try catch and do as you desire afterward
$data= (array) JWT::decode("YOUR_ACCESS_TOKEN", JWK::parseKeySet($jwks), ['RS256', 'RS256']);

对于那些愿意测试示例编码和解码过程的人,请随意使用下面的私钥和公钥:(感谢 firebase 文档,我稍作调整,将其转换为简单的 Laravel 控制器)

<?php

namespace App\Http\Controllers;

use Illuminate\Http\Request;

use \Firebase\JWT\JWT;

use \Firebase\JWT\JWK;

use Illuminate\Support\Facades\Http;

class JWTValidation extends Controller

{

    public function bundle(){

        

        $privateKey = <<<EOD

        -----BEGIN RSA PRIVATE KEY-----

        MIICXAIBAAKBgQC8kGa1pSjbSYZVebtTRBLxBz5H4i2p/llLCrEeQhta5kaQu/Rn

        vuER4W8oDH3+3iuIYW4VQAzyqFpwuzjkDI+17t5t0tyazyZ8JXw+KgXTxldMPEL9

        5+qVhgXvwtihXC1c5oGbRlEDvDF6Sa53rcFVsYJ4ehde/zUxo6UvS7UrBQIDAQAB

        AoGAb/MXV46XxCFRxNuB8LyAtmLDgi/xRnTAlMHjSACddwkyKem8//8eZtw9fzxz

        bWZ/1/doQOuHBGYZU8aDzzj59FZ78dyzNFoF91hbvZKkg+6wGyd/LrGVEB+Xre0J

        Nil0GReM2AHDNZUYRv+HYJPIOrB0CRczLQsgFJ8K6aAD6F0CQQDzbpjYdx10qgK1

        cP59UHiHjPZYC0loEsk7s+hUmT3QHerAQJMZWC11Qrn2N+ybwwNblDKv+s5qgMQ5

        5tNoQ9IfAkEAxkyffU6ythpg/H0Ixe1I2rd0GbF05biIzO/i77Det3n4YsJVlDck

        ZkcvY3SK2iRIL4c9yY6hlIhs+K9wXTtGWwJBAO9Dskl48mO7woPR9uD22jDpNSwe

        k90OMepTjzSvlhjbfuPN1IdhqvSJTDychRwn1kIJ7LQZgQ8fVz9OCFZ/6qMCQGOb

        qaGwHmUK6xzpUbbacnYrIM6nLSkXgOAwv7XXCojvY614ILTK3iXiLBOxPu5Eu13k

        eUz9sHyD6vkgZzjtxXECQAkp4Xerf5TGfQXGXhxIX52yH+N2LtujCdkQZjXAsGdm

        B2zNzvrlgRmgBrklMTrMYgm1NPcW+bRLGcwgW2PTvNM=

        -----END RSA PRIVATE KEY-----

        EOD;

        $publicKey = <<<EOD

        -----BEGIN PUBLIC KEY-----

        MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC8kGa1pSjbSYZVebtTRBLxBz5H

        4i2p/llLCrEeQhta5kaQu/RnvuER4W8oDH3+3iuIYW4VQAzyqFpwuzjkDI+17t5t

        0tyazyZ8JXw+KgXTxldMPEL95+qVhgXvwtihXC1c5oGbRlEDvDF6Sa53rcFVsYJ4

        ehde/zUxo6UvS7UrBQIDAQAB

        -----END PUBLIC KEY-----

        EOD;

        

        $payload = array(

            "iss" => "example.org",

            "aud" => "example.com",

            "iat" => 1356999524,

            "nbf" => 1357000000

        );

        

        $jwt = JWT::encode($payload, $privateKey, 'RS256');

        //echo "Encode:\n" . print_r($jwt, true) . "\n";

        

        $decoded = JWT::decode($jwt, $publicKey, array('RS256'));

        

        /*

         NOTE: This will now be an object instead of an associative array. To get

         an associative array, you will need to cast it as such:

        */

        

        $decoded_array = (array) $decoded;

        return response()->json(['jwt' => $jwt, 'decoded' => $decoded]);

        //echo "Decode:\n" . print_r($decoded_array, true) . "\n";

    }
}

现在再次回到我的第一个问题 :)

如果我在这个库的帮助下验证密钥作为第一段代码,我是否暴露了任何漏洞?或者从长远来看,维护这样的自定义验证流程会是一项耗时的任务吗?

【讨论】:

    【解决方案2】:

    我现在处于同样的过程中:)。

    现在最大的缺点是我必须先解码 JWT 以提取 iss 端点,然后调用 .well-known/openid-configuration 端点,从那里额外获取正确的密钥并使用正确的密钥再次验证 JWT信息。

    我现在正在手动执行此操作,因为我不知道有任何库支持此操作。

    【讨论】:

    • 我最终使用了社交名流并制作了一个本地版本 github.com/rinkp/socialite-azureb2c repo 并对其进行了一些调整并使用授权代码流将其更新为 azureb2c 的 PHP 8(虽然不是 PKCE)
    猜你喜欢
    • 2020-11-27
    • 2021-06-25
    • 1970-01-01
    • 2021-12-09
    • 2017-09-01
    • 2019-03-28
    • 1970-01-01
    • 2017-06-25
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode