问题描述
我正在使用 Identity server 和 OpenId connect,并且由于我需要以更动态的方式在不同语言的多个微服务上进行实现,因此我试图了解流程并使用不同的堆栈进行实现,而不依赖于我们正在使用的特定身份服务器提供商提供的客户端 SDK。 (在生产中,我们很可能会使用一些已经构建好的库,但我现在的目的是从头开始掌握验证的概念)
现在我试图模拟一个我们已经拥有访问和 id 令牌并将它们发送到一个简单的 REST PHP 函数的情况,并且:
- 验证 JWT 签名
- 令牌过期检查
- 范围和受众的验证
- 将用户名传回前端
(不相关,但我使用授权代码流程生成了 access_token -> PKCE)
这是我的验证流程,我使用的是 jose-php 包:
# public key
$components = array(
'kty' => 'RSA','e' => 'AQAB','n' => 'x9vNhcvSrxjsegZAAo4OEuo...'
);
$public_key= JOSE_JWK::decode($components);
$jwt_string = 'eyJ...'; // Access_token
$jws = JOSE_JWT::decode($jwt_string);
$result = $jws->verify($public_key,'RS256');
然而,这对于 $result 返回 undefined。我正在调试 PHP 脚本的其他部分,一旦找到修复程序,我将与这里的每个人分享我的结果,但我认为有更好的方法(不是使用提供程序专有的客户端 SDK)来执行此流程,并且很有可能我错过了什么。
如果有人有使用 PHP 进行身份服务器的 JWT 令牌验证的背景,如果您能在这里分享任何更好的替代方法或建议,那就太好了
先谢谢你:)
解决方法
对于任何为 jwks 寻求简单验证中间件的人来说,这是一个答案,可能不适合生产!!!非常欢迎您提出更好的解决方案:)
我改用了 firebase/php-jwt,因为它使用起来更加方便和直接,而且更容易快速浏览其代码,并且不再返回 undefined。现在用于验证的中间件代码如下所示:
$jwks = ['keys' => [[],[]];
// JWK::parseKeySet($jwks) returns an associative array of **kid** to private
// key. Pass this as the second parameter to JWT::decode.
// Instead of RS256 use your own algo
// $data can return error so wrap it in try catch and do as you desire afterward
$data= (array) JWT::decode("YOUR_ACCESS_TOKEN", JWK::parseKeySet($jwks), ['RS256', 'RS256']);
对于那些愿意测试示例编码和解码过程的人,请随意使用下面的私钥和公钥:(归功于 firebase 文档,并在我这边进行了一些调整以将其转换为简单的 Laravel 控制器)
<?php
namespace App\Http\Controllers;
use Illuminate\Http\Request;
use \Firebase\JWT\JWT;
use \Firebase\JWT\JWK;
use Illuminate\Support\Facades\Http;
class JWTValidation extends Controller
{
public function bundle(){
$privateKey = <<<EOD
-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----
EOD;
$publicKey = <<<EOD
-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC8kGa1pSjbSYZVebtTRBLxBz5H
4i2p/llLCrEeQhta5kaQu/RnvuER4W8oDH3+3iuIYW4VQAzyqFpwuzjkDI+17t5t
0tyazyZ8JXw+KgXTxldMPEL95+qVhgXvwtihXC1c5oGbRlEDvDF6Sa53rcFVsYJ4
ehde/zUxo6UvS7UrBQIDAQAB
-----END PUBLIC KEY-----
EOD;
$payload = array(
"iss" => "example.org", "aud" => "example.com", "iat" => 1356999524, "nbf" => 1357000000
);
$jwt = JWT::encode($payload, $privateKey, 'RS256');
//echo "Encode:\n" . print_r($jwt, true) . "\n";
$decoded = JWT::decode($jwt, $publicKey, array('RS256'));
/*
NOTE: This will now be an object instead of an associative array. To get
an associative array, you will need to cast it as such:
*/
$decoded_array = (array) $decoded;
return response()->json(['jwt' => $jwt, 'decoded' => $decoded]);
//echo "Decode:\n" . print_r($decoded_array, true) . "\n";
}
}
现在又回到我的第一个问题:)
如果我在这个库的帮助下验证密钥作为第一段代码,我是否暴露了任何漏洞?或者从长远来看,维护这样的自定义验证流程会是一项耗时的任务吗?
,我现在也在同样的过程中:)
现在最大的缺点是我必须首先解码 JWT 以提取 iss 端点,然后调用 .well-known/openid-configuration 端点,从那里额外的正确密钥并使用正确的密钥再次验证 JWT信息。
我现在正在手动执行此操作,因为我不知道有任何支持此功能的库。