如何使用JWK-PHP验证JWT
我正在Identity server和OpenId connect上工作,因为我需要以更动态的方式在不同语言的多个微服务上实现,我试图理解流程并使用不同的堆栈来实现,而不依赖于我们正在使用的特定身份服务器提供商提供的客户端SDK。(在生产中,最有可能的是,我们将使用一些已经构建的LIB,但我现在的意图是从头开始掌握验证的概念) 现在我尝试模拟一个案例,我们已经有了访问和id令牌,它们被发送到一个简单的REST PHP函数,并且:如何使用JWK-PHP验证JWT,php,jwt,openid-connect,identity,public-key,Php,Jwt,Openid Connect,Identity,Public Key,我正在Identity server和OpenId connect上工作,因为我需要以更动态的方式在不同语言的多个微服务上实现,我试图理解流程并使用不同的堆栈来实现,而不依赖于我们正在使用的特定身份服务器提供商提供的客户端SDK。(在生产中,最有可能的是,我们将使用一些已经构建的LIB,但我现在的意图是从头开始掌握验证的概念) 现在我尝试模拟一个案例,我们已经有了访问和id令牌,它们被发送到一个简单的REST PHP函数,并且: 对JWT签名进行验证 令牌的过期检查 范围和受众的验证 将用户名
- 对JWT签名进行验证
- 令牌的过期检查
- 范围和受众的验证
- 将用户名传递回前端
# public key
$components = array(
'kty' => 'RSA',
'e' => 'AQAB',
'n' => 'x9vNhcvSrxjsegZAAo4OEuo...'
);
$public_key= JOSE_JWK::decode($components);
$jwt_string = 'eyJ...'; // Access_token
$jws = JOSE_JWT::decode($jwt_string);
$result = $jws->verify($public_key, 'RS256');
但是,这将返回$result的未定义值。我正在调试PHP脚本的其他部分,一旦找到修复方法,我将与这里的所有人分享我的结果,但我认为有更好的方法(而不是使用提供商专用的客户端SDK)来完成此流程,我很可能遗漏了一些东西
如果任何人都有使用PHP for identity server进行JWT令牌验证的背景,如果您能在这里分享更好的替代方案或建议,那就太好了
提前感谢:)这是为jwks寻找简单验证中间件的人的答案,可能不适合生产!!!非常欢迎您提出更好的解决方案:)
我切换到了firebase/php jwt,因为它使用起来更方便、更直接,而且它的代码也更容易快速浏览,并且不再返回未定义的代码。现在,用于验证的中间件代码如下所示:
$jwks = ['keys' => [[], []];
// JWK::parseKeySet($jwks) returns an associative array of **kid** to private
// key. Pass this as the second parameter to JWT::decode.
// Instead of RS256 use your own algo
// $data can return error so wrap it in try catch and do as you desire afterward
$data= (array) JWT::decode("YOUR_ACCESS_TOKEN", JWK::parseKeySet($jwks), ['RS256', 'RS256']);
对于那些愿意测试示例编码和解码过程的人,请随意使用下面的私钥和公钥:(请参阅firebase文档,并对其进行一些调整,将其转换为简单的Laravel控制器)
我现在正处于相同的过程中:)
现在最大的缺点是,我必须首先解码JWT以提取iss端点,然后调用.well-known/openid配置端点,从那里额外添加正确的密钥,并使用正确的密钥信息再次验证JWT
我现在正在手动执行此操作,因为我不知道有任何库支持此操作。也许您可以使用类似“谢谢您的邮件”的软件包,我刚刚检查了该软件包,但在文档中看不到任何针对公钥的验证(可能我很快通过了),它是否包含JWK和JWS?您好,今天我详细阅读了这个文档,它支持签名验证(很抱歉前面的问题),而且似乎比jose php更容易使用。一旦我用jose php进行了测试,我也会尝试这个库,再次感谢你的建议:)我最终使用socialite并制作了一个本地版本的repo,对其进行了一些调整,并使用授权代码流将其更新为PHP8 for azureb2c(但不是PKCE)
<?php
namespace App\Http\Controllers;
use Illuminate\Http\Request;
use \Firebase\JWT\JWT;
use \Firebase\JWT\JWK;
use Illuminate\Support\Facades\Http;
class JWTValidation extends Controller
{
public function bundle(){
$privateKey = <<<EOD
-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----
EOD;
$publicKey = <<<EOD
-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC8kGa1pSjbSYZVebtTRBLxBz5H
4i2p/llLCrEeQhta5kaQu/RnvuER4W8oDH3+3iuIYW4VQAzyqFpwuzjkDI+17t5t
0tyazyZ8JXw+KgXTxldMPEL95+qVhgXvwtihXC1c5oGbRlEDvDF6Sa53rcFVsYJ4
ehde/zUxo6UvS7UrBQIDAQAB
-----END PUBLIC KEY-----
EOD;
$payload = array(
"iss" => "example.org",
"aud" => "example.com",
"iat" => 1356999524,
"nbf" => 1357000000
);
$jwt = JWT::encode($payload, $privateKey, 'RS256');
//echo "Encode:\n" . print_r($jwt, true) . "\n";
$decoded = JWT::decode($jwt, $publicKey, array('RS256'));
/*
NOTE: This will now be an object instead of an associative array. To get
an associative array, you will need to cast it as such:
*/
$decoded_array = (array) $decoded;
return response()->json(['jwt' => $jwt, 'decoded' => $decoded]);
//echo "Decode:\n" . print_r($decoded_array, true) . "\n";
}
}