從0構(gòu)建Oauth2Server服務(wù) 之Token 編解碼
目錄
- Token 編解碼
- JWT 訪問(wèn)令牌編碼
- 解碼
- Invalidating
Token 編解碼
令牌提供了一種通過(guò)在令牌字符串本身中編碼所有必要信息來(lái)避免將令牌存儲(chǔ)在數(shù)據(jù)庫(kù)中的方法。這樣做的主要好處是 API 服務(wù)器能夠驗(yàn)證訪問(wèn)令牌,而無(wú)需對(duì)每個(gè) API 請(qǐng)求進(jìn)行數(shù)據(jù)庫(kù)查找,從而使 API 更容易擴(kuò)展。
OAuth 2.0 Bearer Tokens 的好處是應(yīng)用程序不需要知道您決定如何在您的服務(wù)中實(shí)現(xiàn)訪問(wèn)令牌。這意味著以后可以在不影響客戶端的情況下更改您的實(shí)現(xiàn)。
如果您已經(jīng)擁有一個(gè)可水平擴(kuò)展的分布式數(shù)據(jù)庫(kù)系統(tǒng),那么您可能無(wú)法通過(guò)使用自編碼令牌獲得任何好處。事實(shí)上,如果您已經(jīng)解決了分布式數(shù)據(jù)庫(kù)問(wèn)題,則使用自編碼令牌只會(huì)引入新問(wèn)題,因?yàn)槭棺跃幋a令牌無(wú)效成為一個(gè)額外的障礙。
有很多方法可以對(duì)令牌進(jìn)行自編碼。您選擇的實(shí)際方法只對(duì)您的實(shí)施很重要,因?yàn)榱钆菩畔⒉粫?huì)暴露給外部開(kāi)發(fā)人員。
實(shí)現(xiàn)自編碼令牌的最常見(jiàn)方法是使用 JWS 規(guī)范,創(chuàng)建要包含在令牌中的所有數(shù)據(jù)的 JSON 序列化表示,并使用只有授權(quán)服務(wù)器知道的私鑰對(duì)生成的字符串進(jìn)行簽名.
JWT 訪問(wèn)令牌編碼
下面的代碼是用 PHP 編寫(xiě)的,并使用Firebase PHP-JWT庫(kù)來(lái)編碼和驗(yàn)證令牌。您需要包含該庫(kù)才能運(yùn)行示例代碼實(shí)際上,授權(quán)服務(wù)器將有一個(gè)用于簽署令牌的私鑰,資源服務(wù)器將從授權(quán)服務(wù)器元數(shù)據(jù)中獲取公鑰以用于驗(yàn)證令牌。在這個(gè)例子中,我們每次都生成一個(gè)新的私鑰,并在同一個(gè)腳本中驗(yàn)證令牌。實(shí)際上,您需要將私鑰存儲(chǔ)在某處以使用相同的密鑰一致地簽署令牌。
<?phpuse \Firebase\JWT\JWT;# Generate a private key to sign the token.# The public key would need to be published at the authorization# server if a separate resource server needs to validate the JWT$private_key = openssl_pkey_new([ "digest_alg" => "sha256", "private_key_bits" => 1024, "private_key_type" => OPENSSL_KEYTYPE_RSA]);# Set the user ID of the user this token is for$user_id = "1000";# Set the client ID of the app that is generating this token$client_id = "https://example-app.com";# Provide the list of scopes this token is valid for$scope = "read write";$token_data = array( # Issuer (the authorization server identifier) "iss" => "https://" . $_SERVER["PHP_SELF"], # Expires At "exp" => time()+7200, // Valid for 2 hours # Audience (The identifier of the resource server) "aud" => "api://default", # Subject (The user ID) "sub" => $user_id, # Client ID "client_id" => $client_id, # Issued At "iat" => time(), # Identifier of this token "jti" => microtime(true).".".bin2hex(random_bytes(10)), # The list of OAuth scopes this token includes "scope" => $scope);$token_string = JWT::encode($token_data, $private_key, "RS256");
這將產(chǎn)生一個(gè)字符串,例如:
eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiJ9.eyJpc3MiOiJodH
RwczovL2F1dGhvcml6YXRpb24tc2VydmVyLmNvbS8iLCJleHAiO
jE2MzczNDQ1NzIsImF1ZCI6ImFwaTovL2RlZmF1bHQiLCJzdWIi
OiIxMDAwIiwiY2xpZW50X2lkIjoiaHR0cHM6Ly9leGFtcGxlLWF
wcC5jb20iLCJpYXQiOjE2MzczMzczNzIsImp0aSI6IjE2MzczMz
czNzIuMjA1MS42MjBmNWEzZGMwZWJhYTA5NzMxMiIsInNjb3BlI
joicmVhZCB3cml0ZSJ9.SKDO_Gu96WeHkR_Tv0d8gFQN1SEdpN8
S_h0IJQyl_5syvpIRA5wno0VDFi34k5jbnaY5WHn6Y912IOmg6t
MO91KlYOU1MNdVhHUoPoNUzYtl_nNab7Ywe29kxgrekm-67ZInD
I8RHbSkL7Z_N9eZz_J8c3EolcsoIf-Dd5n9y_Y
該令牌由三個(gè)部分組成,以句點(diǎn)分隔。第一部分描述了使用的簽名方法。第二部分包含令牌數(shù)據(jù)。第三部分是簽名。
例如,此令牌的第一個(gè)組件是此 JSON 對(duì)象:
{ "typ":"JWT", "alg":"RS256" }第二個(gè)組件包含 API 端點(diǎn)處理請(qǐng)求所需的實(shí)際數(shù)據(jù),例如用戶標(biāo)識(shí)和范圍訪問(wèn)。
{ "iss": "https://authorization-server.com/", "exp": 1637344572, "aud": "api://default", "sub": "1000", "client_id": "https://example-app.com", "iat": 1637337372, "jti": "1637337372.2051.620f5a3dc0ebaa097312", "scope": "read write"}然后對(duì)這兩個(gè)部分進(jìn)行 base64 編碼,JWT 庫(kù)計(jì)算這兩個(gè)字符串的 RS256 簽名,然后用句點(diǎn)連接所有三個(gè)部分。
解碼
可以使用相同的 JWT 庫(kù)驗(yàn)證訪問(wèn)令牌。該庫(kù)將同時(shí)對(duì)簽名進(jìn)行解碼和驗(yàn)證,如果簽名無(wú)效或令牌的到期日期已過(guò),則拋出異常。
您需要與簽署令牌的私鑰相對(duì)應(yīng)的公鑰。通常,您可以從授權(quán)服務(wù)器的元數(shù)據(jù)文檔中獲取它,但在本例中,我們將從之前生成的私鑰中派生出公鑰。
注意:任何人都可以通過(guò)對(duì)令牌字符串的中間部分進(jìn)行base64解碼來(lái)讀取令牌信息。因此,不要在令牌中存儲(chǔ)私人信息或您不希望用戶或開(kāi)發(fā)人員看到的信息,這一點(diǎn)很重要。如果想隱藏token信息,可以使用JSON Web Encryption spec對(duì)token中的數(shù)據(jù)進(jìn)行加密。
$public_key = openssl_pkey_get_details($private_key)["key"];try { # Note: You must provide the list of supported algorithms in order to prevent # an attacker from bypassing the signature verification. See: # https://auth0.com/blog/critical-vulnerabilities-in-json-web-token-libraries/ $token = JWT::decode($token_string, $jwt_key, ["RS256"]); $error = false;} catch(\Firebase\JWT\ExpiredException $e) { $token = false; $error = "expired"; $error_description = "The token has expired";} catch(\Firebase\JWT\SignatureInvalidException $e) { $token = false; $error = "invalid"; $error_description = "The token provided was malformed";} catch(Exception $e) { $token = false; $error = "unauthorized"; $error_description = $e->getMessage();}if($error) { header("HTTP/1.1 401 Unauthorized"); echo json_encode(array( "error"=>$error, "error_description"=>$error_description )); die();} else { // Now $token has all the data that we encoded in it originally print_r($token);} Invalidating
因?yàn)榱钆瓶梢栽诓贿M(jìn)行數(shù)據(jù)庫(kù)查找的情況下進(jìn)行驗(yàn)證,所以在令牌過(guò)期之前無(wú)法使其失效。您需要采取額外的步驟來(lái)使自編碼的令牌無(wú)效,例如臨時(shí)存儲(chǔ)已撤銷(xiāo)令牌的列表,這是令jti牌中聲明的一種用途。有關(guān)詳細(xì)信息,請(qǐng)參閱刷新訪問(wèn)令牌。
以上就是從0構(gòu)建Oauth2Server服務(wù) 之Token 編解碼的詳細(xì)內(nèi)容,更多關(guān)于Oauth2Server Token編解碼的資料請(qǐng)關(guān)注其它相關(guān)文章!
網(wǎng)公網(wǎng)安備