php - 在 JWT Token 创建过程中了解 RS256 和 SHA256

问题描述

我正在使用 PHP 中的私钥创建 JWT 令牌。为此，我正在使用 OpenSSL 库。在任何事情之前，我将分享我的代码：

PHP

    $header = [
        self::ALG => self::RS256,
        self::TYP => self::JWT
    ];
    $payload = [
        "iss" => $this->getClientID(),
        "iat" => time(),
        "exp" => time()+999
    ];
    $header = base64_encode(json_encode($header));
    $payload = base64_encode(json_encode($payload));
    $token = $header.".".$payload;
    $pkey = openssl_pkey_get_private($this->getPrivateKey(), $this->getPassPhrase());
    openssl_sign($token, $signature, $pkey, 'sha256'); //no algorithm specifically for rs256
    $sign = base64_encode($signature);
    return $token.".".$sign;

因此，此 JWT 令牌将用于在我尝试访问的服务器中进行身份验证。但是我从外部服务器得到响应，因为Bad Request我的 JWT 令牌创建中发生了问题。

使用相同的凭据，我尝试使用库在 javascript 中jsrsasign，然后它给了我正确的响应。

JAVASCRIPT

// Header
var oHeader = { alg: 'RS256', typ: 'JWT' };
// Payload
var oPayload = {};
var tNow = rs.KJUR.jws.IntDate.get('now');
var tEnd = tNow + 1000;
oPayload.iss = "playground.pizza";
oPayload.iat = tNow;
oPayload.exp = tEnd;
var sHeader = JSON.stringify(oHeader);
var sPayload = JSON.stringify(oPayload);
var pkey = "my private key" //I replaced all the new line with \n here and had in one line
var prvKey = rs.KEYUTIL.getKey(pkey, "my_pass_phrase");
var sJWT = rs.KJUR.jws.JWS.sign("RS256", sHeader, sPayload, prvKey);
ultraSecureToken = sJWT;

我可以清楚地看到的一个区别是，对于signature generation functionphp 端，我sha256作为算法传递，而在 JavaScriptRS256中传递。

我读到 sha256 只是一种散列算法，而 RS256 用于编码，但在我在 php 中找到的所有库中，它们sha256仅在内部传递openssl_sign函数。并且openssl_sign没有 RS256 作为算法参数。

所以，首先我哪里出错了。

其次，有没有一种方法可以在 php.ini 中使用 RS256 生成签名。

PS：我正在寻找 php 中的解决方案。

标签： phpjwtrsasha