从JavaScript身份验证发送时,验证PHP中的Firebase令牌

时间:2016-12-01 00:59:18

标签: javascript php firebase jwt firebase-authentication

处理涉及使用Firebase的JavaScript Web应用程序的项目,该应用程序可以访问带有受保护功能的PHP文件。

为了做到这一点,我通过调用:

得到一个(JWT)令牌 
firebase.auth().currentUser.getToken(true)

完整的功能是:

firebase.auth().currentUser.getToken(true).then(function(idToken) {

    var uid = firebase.auth().currentUser.uid;

    var http = new XMLHttpRequest();
    var url = "http://localhost/jwt.php";
    var params = "token=" + idToken + "&uid=" + uid;
    http.open("POST", url, true);

    //Send the proper header information along with the request
    http.setRequestHeader("Content-type", "application/x-www-form-urlencoded");

    http.onreadystatechange = function() {//Call a function when the state changes.
        if(http.readyState == 4 && http.status == 200) {
            alert(http.responseText);
        }
    }
    http.send(params);      

  console.log("TOKEN: " + idToken);
}).catch(function(error) {
  // Handle error
});

在PHP方面,我使用lcobucci/jwt库验证令牌。

use Lcobucci\JWT\Parser;
use Lcobucci\JWT\ValidationData;
use Lcobucci\JWT\Signer\Keychain;
use Lcobucci\JWT\Signer\Rsa\Sha256;

$data = new ValidationData();
$data->setIssuer('https://securetoken.google.com/<Project ID>');

$signer = new Sha256();
$keychain = new Keychain();

if($_POST["token"]) {
    $token = (new Parser())->parse((string) $_POST["token"]);
    $token->getHeaders(); // Retrieves the token header
    $token->getClaims(); // Retrieves the token claims

    $kid = $token->getHeader('kid');
    $iat = $token->getClaim('iat'); 

    //Grab Google keys
    $json_url = file_get_contents('https://www.googleapis.com/robot/v1/metadata/x509/securetoken@system.gserviceaccount.com');
    $json = json_decode($json_url, true);

    $public_key = $json[$kid]; // Matches kid from header to private key provided by Google


    try {
        $isTokenValid = $token->verify($signer, $public_key); // Verify token
    } catch (Exception $e) {
        $isTokenValid = false;
    }

    if($isTokenValid) {

        echo "Valid"; // Add protected functionality here

    } else {
        echo "Invalid";
    }
}

我的问题是:这样安全吗?

1 个答案:

答案 0 :(得分:0)

是的,验证这样的令牌签名是安全的。 这将证明令牌内容未经过Google的密钥修改和签名。

您可以在此处详细了解JWT:https://jwt.io/introduction/

此外,您可以验证令牌

$token->validate($data);

这将验证发行人(iss声明)和令牌的到期时间(exp声明) https://github.com/lcobucci/jwt/blob/3.2/README.md

相关问题
最新问题