如何在PHP REST网站中实现RS512或更高安全性算法?

时间:2019-01-26 12:03:29

标签: php rest encryption

我是密码学的一个新手。我尝试过HS256,RS256,但是它们被破解了。在哪里可以找到针对PHP REST的RS512或更高安全性算法教程?

我尝试了有关 https://github.com/firebase/php-jwt有关于RS256的文档。但是使用该令牌生成的令牌在此处https://base64decode.org被破解。我也尝试过使用更长的键。 我尝试过https://github.com/web-token/jwt-framework的组件有说明,但是我几乎不了解如何使用它。

$token = array(
   "iss" => $iss,
   "aud" => $aud,
   "iat" => $iat,
   "nbf" => $nbf,
   "exp" => $exp,
   "data" => array(
       "egfield1" => $user->egfield1,
       "egfield2" => $user->egfield2,
       "egfield3" => $user->egfield3,
       "egfield4" => $user->egfield4
   )
);
    //example private
    $privateKey = <<<EOD
    -----BEGIN RSA PRIVATE KEY-----
    MIICXAIBAAKBgQC8kGa1pSjbSYZVebtTRBLxBz5H4i2p/llLCrEeQhta5kaQu/Rn
    vuER4W8oDH3+3iuIYW4VQAzyqFpwuzjkDI+17t5t0tyazyZ8JXw+KgXTxldMPEL9
    5+qVhgXvwtihXC1c5oGbRlEDvDF6Sa53rcFVsYJ4ehde/zUxo6UvS7UrBQIDAQAB
    AoGAb/MXV46XxCFRxNuB8LyAtmLDgi/xRnTAlMHjSACddwkyKem8//8eZtw9fzxz
    bWZ/1/doQOuHBGYZU8aDzzj59FZ78dyzNFoF91hbvZKkg+6wGyd/LrGVEB+Xre0J
    Nil0GReM2AHDNZUYRv+HYJPIOrB0CRczLQsgFJ8K6aAD6F0CQQDzbpjYdx10qgK1
    cP59UHiHjPZYC0loEsk7s+hUmT3QHerAQJMZWC11Qrn2N+ybwwNblDKv+s5qgMQ5
    5tNoQ9IfAkEAxkyffU6ythpg/H0Ixe1I2rd0GbF05biIzO/i77Det3n4YsJVlDck
    ZkcvY3SK2iRIL4c9yY6hlIhs+K9wXTtGWwJBAO9Dskl48mO7woPR9uD22jDpNSwe
    k90OMepTjzSvlhjbfuPN1IdhqvSJTDychRwn1kIJ7LQZgQ8fVz9OCFZ/6qMCQGOb
    qaGwHmUK6xzpUbbacnYrIM6nLSkXgOAwv7XXCojvY614ILTK3iXiLBOxPu5Eu13k
    eUz9sHyD6vkgZzjtxXECQAkp4Xerf5TGfQXGXhxIX52yH+N2LtujCdkQZjXAsGdm
    B2zNzvrlgRmgBrklMTrMYgm1NPcW+bRLGcwgW2PTvNM=

-----END RSA PRIVATE KEY-----
EOD;
$jwt = JWT::encode($token, $privateKey, 'RS256');

//example token RS256 generated
eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiJ9.eyJpc3MiOiJkZGQuaW4iLCJhdWQiOiJubm4uY29tIiwiaWF0IjoxNTQ4NTA0MDQzLCJuYmYiOjE1NDg1MDQwNDMsImV4cCI6MTU0ODU5MDQ0MywiZGF0YSI6eyJibGFoIGJsYWggYmxhaCI6ImJsYWggYmxhaCBibGFoIn19.Z9PdtP0ziezMxEpVBvgdsLBKndcy1fHDe5I2ypxvd2BEXSXxifLw2zJ3o3bcVZ5MogBaBbZyJOIxHA5M2XnLah90e48wVo5rXlG13edPCnPy4yt6onSfNO86Jbimr-JmQqDiN2oCeFBVCmqWu0wGxHZsyiOfp1dkBuyCJNz6mi0

问题是它确实在没有任何密钥的情况下在该站点上被解码

我无法理解我在这里做错了还是算法易破解等。请指导。谢谢

1 个答案:

答案 0 :(得分:1)

我认为您混淆了一些概念。 JWT(或更好地称为JSON Web令牌)建立在message authentication code(MAC)的密码学概念上。

MAC提供了确认消息来自指定发件人的功能。它不会“加密”数据,因此您可以看到消息的直接内容。

Base64是任何数据类型的互译器,JWT将使用此编码,因此您可以将对象,数组或所需的任何数据放入这些令牌中。仅,它可以确保未对其进行任何修改。

例如,用户A窃取用户B的JWT。他想在更长的时间内访问更多数据,因此尝试更改exp属性,由于他不知道秘密(在您的情况下为$privateKey),因此他无法用MAC放弃JWT。

当他随后将新的JWT发送到您的服务器时,它将抛出InvalidSignatureError,您可以用try catch finally块来捕获它。

这会引发多个错误,例如令牌过期,因此,我建议使用catch(Exception $e),然后处理错误类型。

如果您希望对内容进行加密(尽管这样做不符合使用JWT的要点),则可以使用LibSodium或container I made来简化内容。

如果您不想加密$token,请不要在令牌中放入敏感项目。

相关问题
最新问题