【发布时间】:2020-07-25 09:45:26
【问题描述】:
总结
我能够从 Google 的服务器获取 JWS SafetyNet 证明并将其发送到我的服务器。 服务器运行 PHP。
如何在我的服务器上使用 PHP “使用证书验证 JWS 消息的签名”?
我一直在做什么
我确实知道如何解码有效载荷并使用它,但我还想确保 JWS 没有被篡改。 IE。 https://developer.android.com/training/safetynet/attestation官方文档中的“验证 SafetyNet 证明响应”
我想使用一些已经制作的库来执行此操作,但我卡住了。
起初我尝试使用https://github.com/firebase/php-jwt 库和解码方法。问题是它需要一把钥匙,而我至今无法弄清楚它需要什么钥匙。我得到PHP Warning: openssl_verify(): supplied key param cannot be coerced into a public key in ...。所以,它需要一些公钥……某物……
官方文档有4点:
- 从 JWS 消息中提取 SSL 证书链。
- 验证 SSL 证书链并使用 SSL 主机名匹配来验证叶证书是否已颁发给主机名 attest.android.com。
- 使用证书验证 JWS 消息的签名。
- 检查 JWS 消息的数据以确保它与您的原始请求中的数据相匹配。特别是,确保 时间戳已经过验证,并且随机数、包名和 应用程序签名证书的哈希值与预期相符 价值观。
在互联网的帮助下,我可以做 1 和 2(至少部分):
list($header, $payload, $signature) = explode('.', $jwt);
$headerJson = json_decode(base64_decode($header), true);
$cert = openssl_x509_parse(convertCertToPem($headerJson['x5c'][0]));
...
function convertCertToPem(string $cert) : string
{
$output = '-----BEGIN CERTIFICATE-----'.PHP_EOL;
$output .= chunk_split($cert, 64, PHP_EOL);
$output .= '-----END CERTIFICATE-----'.PHP_EOL;
return $output;
}
手动检查标题内容表明它具有属性 alg 和 x5c。 alg 可以用作解码调用的有效算法。 x5c 有一个包含 2 个证书的列表,根据规范,第一个应该是那个 (https://datatracker.ietf.org/doc/html/draft-ietf-jose-json-web-signature-36#section-4.1.5)
我可以检查它匹配的证书的 CN 字段 $cert['subject']['CN'] === 'attest.android.com' 并且我还需要验证证书链(没有一直在努力)。
但是如何使用证书来验证 jwt?
根据 How do I verify a JSON Web Token using a Public RSA key? 该证书不是公开的,您可以:
$pkey_object = openssl_pkey_get_public($cert_object);
$pkey_array = openssl_pkey_get_details($pkey_object);
$publicKey = $pkey_array ['key'];
但我使用我的 $cert openssl_pkey_get_public(): key array must be of the form array(0 => key, 1 => phrase) in ... 卡在第一行
注意事项
我猜我至少需要来自 jws 数据之外的东西,比如公钥或其他东西......或者这是否通过验证证书链到机器上的根证书来解决?
我想让这项工作在生产方面进行,即在谷歌调用 api 来验证每个 jws 不是一个选项。
其他相关(?)我一直在阅读(在很多不相关的页面中):
- Android SafetyNet JWT signature verification
- Use client fingerprint to encode JWT token?
- How to decode SafetyNet JWS response?
- How to validate Safety Net JWS signature from header data in Android apphttps://medium.com/@herrjemand/verifying-fido2-safetynet-attestation-bd261ce1978d
不再存在从某些来源链接的库:
【问题讨论】:
-
您能否发布它为您提供的密钥以及您要验证的消息?那条消息的签名呢?我也许可以提供一些见解,而不必涉足智威汤逊水域。谢谢!
-
你有什么进展吗?
-
不,还没有@user3841429。我正在做其他事情。
-
Ping @user3841429 现在有一个接受的答案。