PHP JWT验证来自给定令牌的密钥-为什么不';我的两个签名不匹配吗?
我使用PHP解析从外部API返回的JWT令牌。 解析有效负载非常简单,但我想首先检查令牌中使用的密钥是否与服务器上的密钥匹配。这将作为我的握手。为此,我将使用我认为已使用的密钥重新创建令牌的签名部分(第三部分)。如果结果值匹配,则我知道密钥匹配 例如,我的密钥是:testsecretkey 返回给我的令牌是: 6.2.2.2.2.2.2.2.2.2.2.2.2.2.2.2.2.2.2.2.2.2.2.2.2.2.2.2.2.2.2.2.2 ZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZihok24jVVi8iE 如果我运行该程序并在“验证签名”框中输入“testscretkey”,然后单击“secretbase64编码”复选框,则所有内容都将签出,并且令牌看起来是正确的 回到我的PHP服务器上,我使用“.”作为分隔符将令牌拆分为3部分($tokenParts)。编码签名(第3部分,上面标记的最后一部分)显示…:PHP JWT验证来自给定令牌的密钥-为什么不';我的两个签名不匹配吗?,php,jwt,token,Php,Jwt,Token,我使用PHP解析从外部API返回的JWT令牌。 解析有效负载非常简单,但我想首先检查令牌中使用的密钥是否与服务器上的密钥匹配。这将作为我的握手。为此,我将使用我认为已使用的密钥重新创建令牌的签名部分(第三部分)。如果结果值匹配,则我知道密钥匹配 例如,我的密钥是:testsecretkey 返回给我的令牌是: 6.2.2.2.2.2.2.2.2.2.2.2.2.2.2.2.2.2.2.2.2.2.2.2.2.2.2.2.2.2.2.2.2 ZZZZZZZZZZZZZZZZZZZZZZZZZZZZ
Cqz2mtZ9g_L4BSYTQztzQ4W0VldAf-Ihok24jVVi8iE
$base64UrlSignature = base64_encode(
hash_hmac(
'sha256', //The correct enc type
$tokenParts[0] . "." . $tokenParts[1], //The first 2 parts of the token
'testsecretkey', // The secret key that should have been used
true
)
);
K4Mx71y1yRdQ7xotyR78FzQU8J2xTc65wZbhGFE-s4s
函数base64\u encode\u url($string){
返回str_replace(['+'、'/'、'=']、['-'、'''''.''、base64_encode($string));
}
函数base64_decode_url($string){
返回base64_解码(str_replace(['-','.'],['+','/'],$string));
}
$signature=base64\u编码\u url(
哈什(
“sha256”,
$tokenParts[0]。“..$tokenParts[1],
base64_解码_url(“testsecretkey”),
真的
)
);
Cqz2mtZ…您从中获取此响应的API可能希望您为密钥输入base64值,而不是纯文本字符串。对于HMAC的编码,必须使用Base64url,而不是(默认)base64,请参见例如。否则,Base64编码的结果在字符
+-/\=\uu-testsecretkey