Token 編解碼

令牌提供了一種通過(guò)在令牌字符串本身中編碼所有必要信息來(lái)避免將令牌存儲(chǔ)在數(shù)據(jù)庫(kù)中的方法。這樣做的主要好處是 API 服務(wù)器能夠驗(yàn)證訪問(wèn)令牌，而無(wú)需對(duì)每個(gè) API 請(qǐng)求進(jìn)行數(shù)據(jù)庫(kù)查找，從而使 API 更容易擴(kuò)展。

OAuth 2.0 Bearer Tokens 的好處是應(yīng)用程序不需要知道您決定如何在您的服務(wù)中實(shí)現(xiàn)訪問(wèn)令牌。這意味著以后可以在不影響客戶端的情況下更改您的實(shí)現(xiàn)。

如果您已經(jīng)擁有一個(gè)可水平擴(kuò)展的分布式數(shù)據(jù)庫(kù)系統(tǒng)，那么您可能無(wú)法通過(guò)使用自編碼令牌獲得任何好處。事實(shí)上，如果您已經(jīng)解決了分布式數(shù)據(jù)庫(kù)問(wèn)題，則使用自編碼令牌只會(huì)引入新問(wèn)題，因?yàn)槭棺跃幋a令牌無(wú)效成為一個(gè)額外的障礙。

有很多方法可以對(duì)令牌進(jìn)行自編碼。您選擇的實(shí)際方法只對(duì)您的實(shí)施很重要，因?yàn)榱钆菩畔⒉粫?huì)暴露給外部開(kāi)發(fā)人員。

實(shí)現(xiàn)自編碼令牌的最常見(jiàn)方法是使用 JWS 規(guī)范，創(chuàng)建要包含在令牌中的所有數(shù)據(jù)的 JSON 序列化表示，并使用只有授權(quán)服務(wù)器知道的私鑰對(duì)生成的字符串進(jìn)行簽名.

JWT 訪問(wèn)令牌編碼

下面的代碼是用 PHP 編寫(xiě)的，并使用Firebase PHP-JWT庫(kù)來(lái)編碼和驗(yàn)證令牌。您需要包含該庫(kù)才能運(yùn)行示例代碼實(shí)際上，授權(quán)服務(wù)器將有一個(gè)用于簽署令牌的私鑰，資源服務(wù)器將從授權(quán)服務(wù)器元數(shù)據(jù)中獲取公鑰以用于驗(yàn)證令牌。在這個(gè)例子中，我們每次都生成一個(gè)新的私鑰，并在同一個(gè)腳本中驗(yàn)證令牌。實(shí)際上，您需要將私鑰存儲(chǔ)在某處以使用相同的密鑰一致地簽署令牌。

<?php
use \Firebase\JWT\JWT;
# Generate a private key to sign the token.
# The public key would need to be published at the authorization
# server if a separate resource server needs to validate the JWT
$private_key = openssl_pkey_new([
  'digest_alg' => 'sha256',
  'private_key_bits' => 1024,
  'private_key_type' => OPENSSL_KEYTYPE_RSA
]);
# Set the user ID of the user this token is for
$user_id = "1000";
# Set the client ID of the app that is generating this token
$client_id = 'https://example-app.com';
# Provide the list of scopes this token is valid for
$scope = 'read write';
$token_data = array(
  # Issuer (the authorization server identifier)
  'iss' => 'https://' . $_SERVER['PHP_SELF'],
  # Expires At
  'exp' => time()+7200, // Valid for 2 hours
  # Audience (The identifier of the resource server)
  'aud' => 'api://default',
  # Subject (The user ID)
  'sub' => $user_id,
  # Client ID
  'client_id' => $client_id,
  # Issued At
  'iat' => time(),
  # Identifier of this token
  'jti' => microtime(true).'.'.bin2hex(random_bytes(10)),
  # The list of OAuth scopes this token includes
  'scope' => $scope
);
$token_string = JWT::encode($token_data, $private_key, 'RS256');

這將產(chǎn)生一個(gè)字符串，例如：

eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiJ9.eyJpc3MiOiJodH
RwczovL2F1dGhvcml6YXRpb24tc2VydmVyLmNvbS8iLCJleHAiO
jE2MzczNDQ1NzIsImF1ZCI6ImFwaTovL2RlZmF1bHQiLCJzdWIi
OiIxMDAwIiwiY2xpZW50X2lkIjoiaHR0cHM6Ly9leGFtcGxlLWF
wcC5jb20iLCJpYXQiOjE2MzczMzczNzIsImp0aSI6IjE2MzczMz
czNzIuMjA1MS42MjBmNWEzZGMwZWJhYTA5NzMxMiIsInNjb3BlI
joicmVhZCB3cml0ZSJ9.SKDO_Gu96WeHkR_Tv0d8gFQN1SEdpN8
S_h0IJQyl_5syvpIRA5wno0VDFi34k5jbnaY5WHn6Y912IOmg6t
MO91KlYOU1MNdVhHUoPoNUzYtl_nNab7Ywe29kxgrekm-67ZInD
I8RHbSkL7Z_N9eZz_J8c3EolcsoIf-Dd5n9y_Y

該令牌由三個(gè)部分組成，以句點(diǎn)分隔。第一部分描述了使用的簽名方法。第二部分包含令牌數(shù)據(jù)。第三部分是簽名。

例如，此令牌的第一個(gè)組件是此 JSON 對(duì)象：

{
   "typ":"JWT",
   "alg":"RS256"
 }

第二個(gè)組件包含 API 端點(diǎn)處理請(qǐng)求所需的實(shí)際數(shù)據(jù)，例如用戶標(biāo)識(shí)和范圍訪問(wèn)。

{
  "iss": "https://authorization-server.com/",
  "exp": 1637344572,
  "aud": "api://default",
  "sub": "1000",
  "client_id": "https://example-app.com",
  "iat": 1637337372,
  "jti": "1637337372.2051.620f5a3dc0ebaa097312",
  "scope": "read write"
}

然后對(duì)這兩個(gè)部分進(jìn)行 base64 編碼，JWT 庫(kù)計(jì)算這兩個(gè)字符串的 RS256 簽名，然后用句點(diǎn)連接所有三個(gè)部分。

解碼

可以使用相同的 JWT 庫(kù)驗(yàn)證訪問(wèn)令牌。該庫(kù)將同時(shí)對(duì)簽名進(jìn)行解碼和驗(yàn)證，如果簽名無(wú)效或令牌的到期日期已過(guò)，則拋出異常。

您需要與簽署令牌的私鑰相對(duì)應(yīng)的公鑰。通常，您可以從授權(quán)服務(wù)器的元數(shù)據(jù)文檔中獲取它，但在本例中，我們將從之前生成的私鑰中派生出公鑰。

注意：任何人都可以通過(guò)對(duì)令牌字符串的中間部分進(jìn)行base64解碼來(lái)讀取令牌信息。因此，不要在令牌中存儲(chǔ)私人信息或您不希望用戶或開(kāi)發(fā)人員看到的信息，這一點(diǎn)很重要。如果想隱藏token信息，可以使用JSON Web Encryption spec對(duì)token中的數(shù)據(jù)進(jìn)行加密。

$public_key = openssl_pkey_get_details($private_key)['key'];
try {
  # Note: You must provide the list of supported algorithms in order to prevent 
  # an attacker from bypassing the signature verification. See:
  # https://auth0.com/blog/critical-vulnerabilities-in-json-web-token-libraries/
  $token = JWT::decode($token_string, $jwt_key, ['RS256']);
  $error = false;
} catch(\Firebase\JWT\ExpiredException $e) {
  $token = false;
  $error = 'expired';
  $error_description = 'The token has expired';
} catch(\Firebase\JWT\SignatureInvalidException $e) {
  $token = false;
  $error = 'invalid';
  $error_description = 'The token provided was malformed';
} catch(Exception $e) {
  $token = false;
  $error = 'unauthorized';
  $error_description = $e->getMessage();
}
if($error) {
  header('HTTP/1.1 401 Unauthorized');
  echo json_encode(array(
    'error'=>$error, 
    'error_description'=>$error_description
  ));
  die();
} else {
  // Now $token has all the data that we encoded in it originally
  print_r($token);
}	

Invalidating

因?yàn)榱钆瓶梢栽诓贿M(jìn)行數(shù)據(jù)庫(kù)查找的情況下進(jìn)行驗(yàn)證，所以在令牌過(guò)期之前無(wú)法使其失效。您需要采取額外的步驟來(lái)使自編碼的令牌無(wú)效，例如臨時(shí)存儲(chǔ)已撤銷(xiāo)令牌的列表，這是令jti牌中聲明的一種用途。有關(guān)詳細(xì)信息，請(qǐng)參閱刷新訪問(wèn)令牌。

以上就是從0構(gòu)建Oauth2Server服務(wù) 之Token 編解碼的詳細(xì)內(nèi)容，更多關(guān)于Oauth2Server Token編解碼的資料請(qǐng)關(guān)注腳本之家其它相關(guān)文章！

最新評(píng)論