PHP JWT验证
至天 人气:0需用到 Composer 库:firebase/php-jwt,直接安装即可 composer require firebase/php-jwt
解析 JWT 头
简单示例下 UniApp 中通过 uni.login() 方法获取 JWT
let type = 'apple'
uni.getProvider({
service: 'oauth',
success: function(res) {
if (res.provider.includes(type)) {
uni.login({
provider: type,
success: function(authed) {
console.log('三方登录获取用户信息成功', authed)
// Apple 登录这儿可用 authed.authResult 或 authed.appleInfo 得到授权数据
// authResult.access_token 与 appleInfo.identityToken 相同;authResult.openid 与 appleInfo.user 相同
// TODO: 登录请求
},
fail: function(err) {
console.log('三方登录获取登录信息失败', err)
if (err.errCode === 1001) {
// 登录已取消
} else {
// 其它错误情况
}
}
})
} else {
// 当前环境不支持该登录方式
}
},
fail: function(err) {
console.log('获取三方登录信息异常', err)
}
})示例 JWT:eyJhbGciOiAiUlMyNTYiLCJraWQiOiAiWXV5WG9ZIn0.
注意实际得到的 JWT 很长,但在验证时只需要头部分,所以我们可以先截取头部分:
// 截取至第一个「点」的位置为 JWT 头 $header = json_decode(base64_decode(substr($token, 0, strpos($token, '.'))), true);
获取 Apple 公钥
公钥可以直接通过接口获取:https://appleid.apple.com/auth/keys
因为不存在变化,建议首次获取后解码 $keys = json_decode($keys, true) 并缓存,下次直接从缓存中拿取
解析$keys(公钥)
这里就需要使用安装的 Composer 库了:
$parsedKeys = \Firebase\JWT\JWK::parseKeySet($keys, true);
获取目标 Key
这里说的目标 Key 也就是 $keys 中用来解码 JWT 的 Key,当然你也许会想循环 $keys,这肯定不河里啊!
最开始获取的 $header 中包含了一个 kid,而解析后的 $parsedKeys 中也存在对应 kid 值的一个键
所以我们可以直接判断:
if (!($parsedKeys[$header['kid']] ?? null)) {
throw new \Exception('JWT decode failed');
}
解码获取 OpenID
一定要捕获异常,decode 方法会抛出 7 种不同的异常,有个简单且友好的做法是单独判断过期异常并响应友好提示
try {
$decoded = \Firebase\JWT\JWT::decode($token, $parsedKeys[$header['kid']]);
} catch (\Exception $e) {
if ($e instanceof \Firebase\JWT\ExpiredException) {
// 返回友好提示告知用户授权过期
}
// 可直接响应登录异常或参数异常
}
// JWT 中 sub 即为 OpenID
$openId = $decoded->sub;
多说两句
- Apple 登录授权后前端除了拿到
identityToken还有一个user也是OpenID,但是该OpenID不可信,可以在解码 JWT 后进行对比; - JWT 的有效期是 10 分钟;
加载全部内容