如何用JWK验证JWT
我正在研究身份服务器和OpenId连接,由于我需要以更动态的方式和使用不同语言的多个微服务来实现,所以我试图理解流程,并使用不同的堆栈来实现,而不依赖我们正在使用的特定身份服务器提供程序提供的客户端SDK。(在生产中,最有可能的是,我们将使用一些已经构建的库,但我现在的意图是从底层掌握验证的概念)。
现在,我试图模拟这样一种情况,在这种情况下,我们已经有了access和id令牌,并将它们发送到一个简单的REST PHP函数,并且:
JWT的
- Do验证signature
- Expiration检查范围的token
- Validation &
- 将用户名传递回前端
(与此无关,但我生成了具有授权代码流的access_token -> PKCE)
这是我的验证流程,我使用的是jose-php包:
# public key
$components = array(
'kty' => 'RSA',
'e' => 'AQAB',
'n' => 'x9vNhcvSrxjsegZAAo4OEuo...'
);
$public_key= JOSE_JWK::decode($components);
$jwt_string = 'eyJ...'; // Access_token
$jws = JOSE_JWT::decode($jwt_string);
$result = $jws->verify($public_key, 'RS256');但是,这将返回未定义的$result。我正在调试PHP脚本的其他部分,一旦我找到了修复,我将与这里的每个人分享我的结果,但是我认为有一种更好的方法(而不是使用提供者专用客户端SDK)来完成这个流程,而且很有可能我遗漏了一些东西。
如果有人有使用PHP服务器的JWT令牌验证的背景,那么如果您可以在这里分享更好的选择或建议,那么将是非常棒的。
(预先谢谢:)
回答 2
Stack Overflow用户
发布于 2021-02-07 22:08:49
对于那些为jwks寻找一个简单的验证中间件的人来说,这是一个答案,对于生产来说可能不是理想的!我们非常欢迎您提出更好的解决方案:)
我切换到了firebase/php-jwt,因为它使用起来更方便、更直观,而且它的代码更容易快速浏览,而且它不再返回未定义的内容。现在,用于验证的中间件代码如下所示:
$jwks = ['keys' => [[], []];
// JWK::parseKeySet($jwks) returns an associative array of **kid** to private
// key. Pass this as the second parameter to JWT::decode.
// Instead of RS256 use your own algo
// $data can return error so wrap it in try catch and do as you desire afterward
$data= (array) JWT::decode("YOUR_ACCESS_TOKEN", JWK::parseKeySet($jwks), ['RS256', 'RS256']);对于那些愿意测试一个示例编码和解码过程的人,可以自由地使用下面的私钥和公钥:(请记为firebase文档,并在我这边做一些调整,将其转换为一个简单的Laravel控制器)
<?php
namespace App\Http\Controllers;
use Illuminate\Http\Request;
use \Firebase\JWT\JWT;
use \Firebase\JWT\JWK;
use Illuminate\Support\Facades\Http;
class JWTValidation extends Controller
{
public function bundle(){
$privateKey = <<<EOD
-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----
EOD;
$publicKey = <<<EOD
-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC8kGa1pSjbSYZVebtTRBLxBz5H
4i2p/llLCrEeQhta5kaQu/RnvuER4W8oDH3+3iuIYW4VQAzyqFpwuzjkDI+17t5t
0tyazyZ8JXw+KgXTxldMPEL95+qVhgXvwtihXC1c5oGbRlEDvDF6Sa53rcFVsYJ4
ehde/zUxo6UvS7UrBQIDAQAB
-----END PUBLIC KEY-----
EOD;
$payload = array(
"iss" => "example.org",
"aud" => "example.com",
"iat" => 1356999524,
"nbf" => 1357000000
);
$jwt = JWT::encode($payload, $privateKey, 'RS256');
//echo "Encode:\n" . print_r($jwt, true) . "\n";
$decoded = JWT::decode($jwt, $publicKey, array('RS256'));
/*
NOTE: This will now be an object instead of an associative array. To get
an associative array, you will need to cast it as such:
*/
$decoded_array = (array) $decoded;
return response()->json(['jwt' => $jwt, 'decoded' => $decoded]);
//echo "Decode:\n" . print_r($decoded_array, true) . "\n";
}
}现在又回到我的第一个问题:)
如果我在这个库的帮助下验证了密钥,作为代码的第一部分,我是否暴露了任何漏洞?或者,从长远来看,维护这样的自定义验证流会是一项耗时的任务吗?
Stack Overflow用户
发布于 2021-04-15 14:58:03
我现在正处于相同的过程中:)。
现在最大的缺点是,我必须首先解码JWT以提取iss端点,然后调用.众所熟知的/openid配置端点,从那里增加正确的密钥,并使用正确的密钥信息再次验证JWT。
我现在是手工操作,因为我不知道有任何库支持这一点。
https://stackoverflow.com/questions/66063172
复制相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号