easyswoole icon indicating copy to clipboard operation
easyswoole copied to clipboard

Published 20 hours ago verified publisher icon easy-swoole

token验证解析是无效;status -1

Open mirgong opened this issue 3 years ago • 3 comments

token: eyJhbGciOiJIUzI1NiIsInR5cGUiOiJKV1QifQ.eyJyb2xlIjoibm9ybWFsIiwidXNlcl9pZCI6IjgzMzAyMSIsImV4cCI6MTYwNTU5ODMxMS45OTl9.7um1CsFiBkcrzg9BX3BznkJKXzgOLLCYmYoWfqGRKbo

mirgong avatar Nov 16 '20 10:11 mirgong

HS256

kiss291323003 avatar Nov 17 '20 02:11 kiss291323003

eyJhbGciOiJIUzI1NiIsInR5cGUiOiJKV1QifQ解析出来的结果:string(28) "{"alg":"HS256","type":"JWT"}"

标准的jwt库:type应为typ

image

https://baijiahao.baidu.com/s?id=1608021814182894637&wfr=spider&for=pc

Firebase\JWT\JWT 这个库能解析出来的原因是:它生成signature时,直接用你传递过来的header.payload 作为验证参数(不管你的header.payload有没有问题,这样是不标准的。

这是Firebase\JWT\JWT 的源码

image

easyswoole 的源码在生成signature时会将你传递过来的header解析出来再按照标准的参数拼装再进行加密

image

huizhang001 avatar Nov 17 '20 15:11 huizhang001

了解,明白。

mirgong avatar Nov 18 '20 01:11 mirgong