我尝试使用Box app用户ID创建访问令牌。我使用以下代码创建了框app用户
curl https://api.box.com/2.0/users \
-H "Authorization: Bearer <TOKEN>" \
-d '{"name": "Ned Stark", "is_platform_access_only": true}' \
-X POST
然后给出以下结果
{"type":"user","id":"2199107004","name":"Ned Stark","login":"AppUser_399382_9BNZHI03nJ@boxdevedition.com","created_at":"2017-08-03T00:58:04-07:00"
是否可以使用box app用户ID生成访问令牌。?
被修改
我在BOX API中生成了公钥。然后我有文件,如公共密钥和私钥详细信息,如下面,
{
"boxAppSettings": {
"clientID": <Client ID>,
"clientSecret": <clientsecret>,
"appAuth": {
"publicKeyID": <publickeyid>,
"privateKey": "-----BEGIN ENCRYPTED PRIVATE KEY-----\Key heresn-----END ENCRYPTED PRIVATE KEY-----\n",
"passphrase": <phrase>
}
},
"enterpriseID": <enterpriseId>
}
然后我生成了头和有效负载,如下所示
$header = ["typ"=> "JWT", "alg"=>"RS256","kid"=> <public key id>];
$payload = [
"iss"=> "<client id>",
"sub"=> "<APP USER ID>",
"box_sub_type"=> "user",
"aud"=>"https://api.box.com/oauth2/token",
"jti"=>"<I don't know what is this>",
"exp"=>1428699385
];
$header = base64_encode(json_encode($header));
$payload = base64_encode(json_encode($payload));
在此之后,我遇到了如何在这里实现私钥和公钥的问题。实际上我有从BOX API下载的JSON文件。
我无法理解JTI是什么?如何在此添加公钥和/或私钥JSON文件?怎么做?
我已根据文档手动生成私钥,如下所示
openssl genrsa -aes256 -out private_key.pem 2048
然后我输入密码为&#34; 12345&#34;。并生成如下公钥,
openssl rsa -pubout -in private_key.pem -out public_key.pem
然后我在BOX-API中添加了公钥,我编写了如下代码,
$data = file_get_contents('private_key.pem');
$result = openssl_pkey_get_private($data,"12345");
print_r($result);
它给出了以下结果
Resource id #4
这些看起来不像加密数据。以及如何在php中调用box api时实现私有和公共。
答案 0 :(得分:2)
我不建议您自己实现,因为已经有几个库实现了这个协议。但是我将我的答案分为两部分,第一部分解释了如何使用开源软件包来解决问题,第二部分可以帮助您进行私钥签名。
有几个支持JWT签名的php包,在编写最常用的那个是 lcobucci / jwt 时,但是还有其他实现: https://packagist.org/search/?q=jwt
您可以使用composer进行安装。由于版本4.0现在没有记录,我建议您安装3.2并查看该版本的README文件。
您可以在项目中使用以下内容:composer require lcobucci/jwt:^3.2
您的代码示例表明您需要RSA256,该库有一个示例:
<?php
use Lcobucci\JWT\Builder;
use Lcobucci\JWT\Signer\Keychain; // just to make our life simpler
use Lcobucci\JWT\Signer\Rsa\Sha256; // you can use Lcobucci\JWT\Signer\Ecdsa\Sha256 if you're using ECDSA keys
$signer = new Sha256();
$keychain = new Keychain();
$token = (new Builder())
->setIssuer('http://example.com') // Configures the issuer (iss claim)
->setAudience('http://example.org') // Configures the audience (aud claim)
->setId('4f1g23a12aa', true) // Configures the id (jti claim), replicating as a header item
->setIssuedAt(time()) // Configures the time that the token was issue (iat claim)
->setNotBefore(time() + 60) // Configures the time that the token can be used (nbf claim)
->setExpiration(time() + 3600) // Configures the expiration time of the token (nbf claim)
->set('uid', 1) // Configures a new claim, called "uid"
->sign($signer, $keychain->getPrivateKey('file://{path to your private key}')) // creates a signature using your private key
->getToken(); // Retrieves the generated token
使用公钥和私钥时,您必须确保私钥安全。但是,您可以轻松地将您的公钥发布到全世界,而不会影响安全性。
使用私钥进行签名,因为您不希望人们伪造您的签名,使用公共部分签名将使每个人都可以这样做。这也意味着验证步骤始终使用公钥,因为每个人都应该能够这样做。
您提供的代码示例只是加载私钥,但不对其执行任何操作。要签名,您需要在变量中使用openssl_sign。 Resource #xx仅仅意味着在php中引用外部内容。
<?php
// Data to sign
$payload = 'TEST';
// Generate a new key, load with: openssl_pkey_get_private
$privateKey = openssl_pkey_new(array('private_key_bits' => 512)); // NOT SECURE BUT FAST
// Extract public part from private key
$details = openssl_pkey_get_details($privateKey);
// Use openssl_pkey_get_public to load from file
$publicKey = $details['key'];
// Generated by openssl_sign
$signature = null;
// Sign with private key
openssl_sign($payload, $signature, $privateKey, OPENSSL_ALGO_SHA256);
// Use base64 because the signature contains binairy data
echo 'Signed data: '.base64_encode($signature).PHP_EOL;
// Use publicKey to verify signature
$valid = openssl_verify($payload, $signature, $publicKey, OPENSSL_ALGO_SHA256);
echo 'Signature is '.($valid ? 'Valid' : 'Invalid').PHP_EOL;
如果你仍然想要实现完整的协议,我建议你再看一下这个包。正如评论中已经提出的完整规范:
https://www.rfc-editor.org/rfc/rfc7519.txt
最后提示:JWT使用一些不同于base64的字符而不是php,所以一定要正确处理。