PHP 中的 JWT（JSON Web Token），不使用第三方库。如何签名？

php json authentication jwt sha

2022-08-30 17:43:33

有一些用于在PHP中实现JSON Web令牌（JWT）的库，例如php-jwt。我正在编写我自己的，非常小和简单的类，但无法弄清楚为什么我的签名在这里无法验证，即使我试图坚持标准。我已经尝试了几个小时，但我卡住了。请帮忙！

我的代码很简单

//build the headers
$headers = ['alg'=>'HS256','typ'=>'JWT'];
$headers_encoded = base64url_encode(json_encode($headers));

//build the payload
$payload = ['sub'=>'1234567890','name'=>'John Doe', 'admin'=>true];
$payload_encoded = base64url_encode(json_encode($payload));

//build the signature
$key = 'secret';
$signature = hash_hmac('SHA256',"$headers_encoded.$payload_encoded",$key);

//build and return the token
$token = "$headers_encoded.$payload_encoded.$signature";
echo $token;

功能：base64url_encode

function base64url_encode($data) {
    return rtrim(strtr(base64_encode($data), '+/', '-_'), '=');
}

我的标头和有效负载与验证站点的默认 JWT 完全匹配，但我的签名不匹配，因此我的令牌被标记为无效。这个标准似乎非常简单，所以我的签名有什么问题？

答案 1

我解决了！我没有意识到签名本身需要进行base64编码。此外，我需要将函数的最后一个可选参数设置为（请参阅文档。简而言之，我需要从原始代码更改我的代码：hash_hmac$raw_output=true

//build the signature
$key = 'secret';
$signature = hash_hmac('sha256',"$headers_encoded.$payload_encoded",$key);

//build and return the token
$token = "$headers_encoded.$payload_encoded.$signature";

更正如下：

//build the signature
$key = 'secret';
$signature = hash_hmac('sha256',"$headers_encoded.$payload_encoded",$key,true);
$signature_encoded = base64url_encode($signature);

//build and return the token
$token = "$headers_encoded.$payload_encoded.$signature_encoded";
echo $token;

答案 2

如果你想用RS256（而不是像OP这样的HS256）来解决它，你可以这样使用它：

//build the headers
$headers = ['alg'=>'RS256','typ'=>'JWT'];
$headers_encoded = base64url_encode(json_encode($headers));

//build the payload
$payload = ['sub'=>'1234567890','name'=>'John Doe', 'admin'=>true];
$payload_encoded = base64url_encode(json_encode($payload));

//build the signature
$key = "-----BEGIN PRIVATE KEY----- ....";
openssl_sign("$headers_encoded.$payload_encoded", $signature, $key, 'sha256WithRSAEncryption'); 
$signature_encoded = base64url_encode($signature);

//build and return the token
$token = "$headers_encoded.$payload_encoded.$signature_encoded";
echo $token;

花了我比我想承认的时间长得多