那些遇到过的问题

不使用第三方库的PHP中的JWT(JSON Web Token).怎么签?

Bee*_*ice 11 php authentication json sha jwt

有一些用于在PHP中实现JSON Web令牌(JWT)的库,例如php-jwt.我正在编写自己的,非常小而简单的类,但无法弄清楚为什么我的签名未能在此验证,即使我已经尝试坚持标准.我已经尝试了几个小时而且我被卡住了.请帮忙!

我的代码很简单

//build the headers
$headers = ['alg'=>'HS256','typ'=>'JWT'];
$headers_encoded = base64url_encode(json_encode($headers));

//build the payload
$payload = ['sub'=>'1234567890','name'=>'John Doe', 'admin'=>true];
$payload_encoded = base64url_encode(json_encode($payload));

//build the signature
$key = 'secret';
$signature = hash_hmac('SHA256',"$headers_encoded.$payload_encoded",$key);

//build and return the token
$token = "$headers_encoded.$payload_encoded.$signature";
echo $token;
Run Code Online (Sandbox Code Playgroud)

base64url_encode函数:

function base64url_encode($data) {
    return rtrim(strtr(base64_encode($data), '+/', '-_'), '=');
}
Run Code Online (Sandbox Code Playgroud)

我的标头和有效负载与验证网站的默认JWT 完全匹配,但我的签名不匹配,因此我的标记被标记为无效.这个标准看起来真的很简单,所以我的签名有什么问题?

Bee*_*ice 18

我解决了!我没有意识到签名本身需要base64编码.另外,我需要设置hash_hmac函数的最后一个可选参数$raw_output=true(参见文档.简而言之,我需要从原始代码更改我的代码:

//build the signature
$key = 'secret';
$signature = hash_hmac('SHA256',"$headers_encoded.$payload_encoded",$key);

//build and return the token
$token = "$headers_encoded.$payload_encoded.$signature";
Run Code Online (Sandbox Code Playgroud)

纠正的:

//build the signature
$key = 'secret';
$signature = hash_hmac('SHA256',"$headers_encoded.$payload_encoded",$key,true);
$signature_encoded = base64url_encode($signature);

//build and return the token
$token = "$headers_encoded.$payload_encoded.$signature_encoded";
echo $token;
Run Code Online (Sandbox Code Playgroud)

Chr*_*ian 11

如果你想使用RS256(而不是像OP那样的HS256)来解决它,你可以这样使用它:

//build the headers
$headers = ['alg'=>'RS256','typ'=>'JWT'];
$headers_encoded = base64url_encode(json_encode($headers));

//build the payload
$payload = ['sub'=>'1234567890','name'=>'John Doe', 'admin'=>true];
$payload_encoded = base64url_encode(json_encode($payload));

//build the signature
$key = "-----BEGIN PRIVATE KEY----- ....";
openssl_sign("$headers_encoded.$payload_encoded", $signature, $key, 'sha256WithRSAEncryption'); 
$signature_encoded = base64url_encode($signature);

//build and return the token
$token = "$headers_encoded.$payload_encoded.$signature_encoded";
echo $token;
Run Code Online (Sandbox Code Playgroud)

我花了比我愿意承认的更长的时间

归档时间:

查看次数:

11139 次

最近记录:

9 年 前
相关归档
使用数字键将JavaScript对象转换为数组 174
如何通过JObject枚举? 101
PHP中变量名前的'at'符号:@ $ _ POST 51
如何对Symfony2控制器进行单元测试? 28
PHP爆炸和数组索引 19
GSON.将整数反序列化为整数而不是双精度 16
什么是Jquery的$ .getJSON的vanilla JS版本 11
使用Embarcadero代码解析使用TJSONObject的有效JSON示例失败,但有异常 10
Rails:如何为redirect_to设置json格式 9
OmniAuth提供什么机制来确保安全登录? 5
难疑归档
从脚本本身获取Bash脚本的源目录 4672
有一个CSS父选择器吗? 2986
jQuery是否存在"存在"功能? 2669
如何制作一系列功能装饰器? 2647
如何恢复Git中丢失的存储? 1617
在Android上旋转活动重启 1341
你如何存放未跟踪的文件? 1287
jQuery获取特定的选项标签文本 1211
jQuery从下拉列表中获取选定的选项 1067
Access-Control-Allow-Origin标头如何工作? 1050