验证 jwt 的问题

Question

我正在尝试jwt，我在php 中做了一个非常简单的测试，然后转到jwt.io 调试器进行验证，并且标头和有效负载被正确解码，但它说签名未经验证。我查看了 this SO question 和 copied this article's code exactly 并无法使用任何密钥进行验证。我尝试更改设置密钥的字符串，选择和取消选择该框，但无法验证任何内容。这是我的代码：

$key = "mySecret";
$header = ["typ"=>"JWT","alg"=>"HS256"];
$header = base64_encode(json_encode($header));     
$payload = ["valid"=>"true","isAdmin"=>"false"];
$payload = base64_encode(json_encode($payload));
$signature = hash_hmac('sha256','$header.$payload', $key, true);
$signature = base64_encode($signature);
$token = "$header.$payload.$signature";
echo $token;

我错过了哪一步？

编辑包括JWT

---

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ2YWxpZCI6InRydWUiLCJpc0FkbWluIjoiZmFsc2UifQ==.QzjPt33UOjEPdPLtyhvs4DYrAD2TnQgv8P0WuHXuj/c=

Answer 1

您链接的代码不正确。标头和有效负载是 base64 编码的，但它应该是 base64 url​​encoded。见RFC7519

JWT 表示为 URL 安全部分的序列，由 句点 ('.') 字符。每个部分都包含一个 base64url 编码的 价值。

尝试在base64_encodedocumentation 中添加此功能作为评论提供。请注意，SO问题也在使用它

function base64url_encode($data) { 
  return rtrim(strtr(base64_encode($data), '+/', '-_'), '='); 
} 

$header = base64url_encode(json_encode($header));  
$payload = base64url_encode(json_encode($payload));  
$signature = base64url_encode($signature);