我已经按照这里的说明获得了一个web API的访问令牌。
https://msdn.microsoft.com/en-us/library/azure/dn645542.aspx我有这个工作,但文档是模糊的,当它涉及到如何验证令牌在PHP。
您可以使用响应中返回的访问令牌对受保护的资源(如web API)进行身份验证。通常,令牌在HTTP请求中使用承载方案呈现给web API,该方案在RFC 6750中有描述。本规范解释了如何在HTTP请求中使用承载令牌来访问受保护的资源。
当web API接收并验证令牌时,它将使本机客户端应用程序访问web API。
如何验证应用程序中的JWT ?我有一个PHP框架,它使用PHP openssl_verify()函数与令牌,签名,密钥和算法,但当我使用Azure的私钥与SHA256算法时,我收到错误:
openssl_verify(): supplied key param cannot be coerced into a public key
这让我相信我在PHP中使用的键验证是不正确的。目前,我使用的是为Active Directory应用程序生成的私钥,它恰好也是我为"client_secret"使用的值。参数(任何其他值都不会生成令牌,所以这可能是正确的)。
键类似于(BUT IT NOT ACTUALLY):
cLDQWERTYUI12asdqwezxctlkjpoiAn7yhjeutl8jsP=
我认为openssl需要有一个证书…如果是这样,我似乎找不到这个证书在Azure门户中的位置。
我在这里错过了什么?我应该使用openssl_verify()来验证JWT的密钥是什么?我在Azure中的哪里可以找到它?
感谢,
更新:
我在这里找到了公钥:https://login.windows.net/common/discovery/keys
但是我仍然无法使用提供的X5C来验证签名。如何在PHP中做到这一点?
,
更新2:我使用a转换为使用'e'和'n'参数的公钥创建一个.pem文件。这收到一个公钥。
现在我得到打开SSL错误解密时使用它:
error:0906D06C:PEM routines:PEM_read_bio:no start line
结束这个问题,因为我已经从最初的问题转移到了下一个问题。更新了我的问题和评论,显示我是如何进步的。
为新的特定问题创建了一个新问题:如何使用公共RSA密钥验证JSON Web令牌?
,
只是为了帮助别人:
关于在PHP中从Microsoft获取公钥的解决方案的进一步信息,我做了以下操作:
$string_microsoftPublicKeyURL = 'https://login.windows.net/common/discovery/keys';
$array_publicKeysWithKIDasArrayKey = loadKeysFromAzure($string_microsoftPublicKeyURL);
function loadKeysFromAzure($string_microsoftPublicKeyURL) {
$array_keys = array();
$jsonString_microsoftPublicKeys = file_get_contents($string_microsoftPublicKeyURL);
$array_microsoftPublicKeys = json_decode($jsonString_microsoftPublicKeys, true);
foreach($array_microsoftPublicKeys['keys'] as $array_publicKey) {
$string_certText = "-----BEGIN CERTIFICATE-----'r'n".chunk_split($array_publicKey['x5c'][0],64)."-----END CERTIFICATE-----'r'n";
$array_keys[$array_publicKey['kid']] = getPublicKeyFromX5C($string_certText);
}
return $array_keys;
}
function getPublicKeyFromX5C($string_certText) {
$object_cert = openssl_x509_read($string_certText);
$object_pubkey = openssl_pkey_get_public($object_cert);
$array_publicKey = openssl_pkey_get_details($object_pubkey);
return $array_publicKey['key'];
}
最好把这些缓存到磁盘上,这样你就不用每次都加载了,这只是一个简单的例子。
然后,使用公钥数组,检查JWT报头中的'kid'值,以找到要验证的正确的公共证书,并在openssl_verify()中的参数3中使用它。我使用JWT类来为我处理这个问题。
使用上面创建的公钥数组和JWT类应该允许您验证microsoft JWT。
从firebase链接到JWT类:https://github.com/firebase/php-jwt
调用JWT::解码,使用JWT的参数1,此公钥数组的参数2和仅'RS256'数组的参数3。
JWT::decode($string_JSONWebToken, $array_publicKeysWithKIDasArrayKey, array('RS256'));
如果JWT无效或返回一个解密的JWT供您使用(并检查声明),这将抛出一个异常。
如果您想验证jwt,请转到jwt.io这将允许您粘贴JWT,然后它将验证标头、声明,如果您添加公钥或私钥(取决于服务器验证签名的方式),它还将验证JWT的签名。