大家好,坐好。别在那儿刷手机了,抬头看我。
今天我们不谈代码怎么写得更漂亮,我们谈点带刺儿的。谈点如果你今晚不想因为“忘了改配置导致服务器被黑”而跪键盘,就必须得懂的东西。
我要讲的主题是:PHP 处理 JWT 认证的安全陷阱:分析签名算法选型与 Token 失效机制的物理一致性。
听到“JWT”这两个字,你们是不是觉得“哦,那个能解决单点登录的神器”?别做梦了。JWT 不是什么神药,它只是一张签了字的纸条。如果这张纸条是拿蜡笔签的,那它很安全;如果上面写着“免检”,那它就是个笑话。
今天我们就来扒一扒,为什么你们写的 JWT 认证,在黑客眼里就像是在公园裸奔。
第一部分:算法的“耍流氓”——签名选型是安全的第一道鬼门关
首先,我们得聊聊 JWT 的签名算法。这是整件事儿的根基。很多 PHP 开发者——别对号入座,我就当你也是其中之一——习惯性地写这行代码:
use FirebaseJWTJWT;
$secret = 'my_super_secret_key';
$payload = ['user_id' => 123, 'exp' => time() + 3600];
$jwt = JWT::encode($payload, $secret, 'HS256');看起来很美好,对吧?这是默认配置。但如果你在高级安全会议上这么说,黑客会笑出声来,甚至还会给你递杯茶。
1. “none” 算法的恐怖故事
JWT 的头部里有一个字段叫 alg,它告诉服务器:“嘿,我这条消息是用什么签名算法加密的。”
标准的算法有 HS256(HMAC-SHA256)、RS256(RSA-SHA256)、ES256(ECDSA-SHA256)等等。
但有一个算法,虽然理论上不应该被使用,但它真的存在,叫 none。
想象一下,如果恶意攻击者构造了一个 JWT,头部是这样的:
{
"alg": "none",
"typ": "JWT"
}Payload 就是你的数据,比如 {"role": "admin"}。
然后,他不生成签名。他直接把这三部分连起来,中间用 . 分隔,发给你。
现在,轮到你的 PHP 代码验证了。很多库(甚至有些官方库的旧版本)如果检测到 alg 是 none,可能会傻乎乎地跳过签名验证步骤,直接认为:“哦,这是 none 算法,说明没有签名,那肯定可信,因为我没签名。”
结果呢?你把 role: admin 当成了系统管理员,直接登录了。
物理一致性在这里就崩塌了: 签名算法的选型,决定了你验证这张“纸条”的流程。选错了算法,或者验证逻辑没跟上算法的变化,这张纸条就变成了白纸。
2. HS256 的“自欺欺人”与密钥长度
如果你觉得 none 太激进,那 HS256 就是那个“自欺欺人”的老好人。
HS256(HMAC-SHA256)是对称加密。意味着加密和解密用的是同一个密钥。
在 PHP 中,这通常意味着:你的服务器 A 生成了 Token,服务器 B 验证 Token。它们必须共享同一个 $secret。
这带来了一个巨大的物理一致性问题:密钥管理。
如果黑客猜到了你的密钥怎么办?如果你的密钥是 '123456' 呢?PHP 代码里可能会这么写:
$secret = '123456'; // 开发环境为了方便,就这么写了在密码学里,这是死罪。HMAC-SHA256 的安全性是建立在密钥足够长且足够随机的基础上的。用 123456 这种短密钥,就像是用一把螺丝刀去撬保险柜。黑客只要暴力破解或者字典攻击,几分钟就能拿到你的密钥。
一旦拿到密钥,他们就可以伪造 Token,把自己变成管理员。
安全建议(物理一致性):
- 绝不要用
HS256处理敏感数据: 除非你真的懂你在做什么,且密钥管理极其严格。对于生产环境,请使用非对称加密RS256或ES256。 - 密钥长度: 至少 32 字节(256位),最好是 64 字节。别用
base64编码的字符串,直接用openssl_random_pseudo_bytes生成二进制密钥。
让我们看看正确的 RS256 生成方式:
// 生成私钥(通常只做一次,保存在服务器本地文件)
$privateKey = openssl_pkey_new([
"private_key_bits" => 2048,
"private_key_type" => OPENSSL_KEYTYPE_RSA,
]);
// 生成公钥(从私钥提取,给客户端验证用)
$publicKey = openssl_pkey_get_details($privateKey)['key'];
// 获取私钥的 PEM 格式字符串
$privateKeyString = '';
openssl_pkey_export_to_file($privateKey, '/path/to/private.key');
$privateKeyString = file_get_contents('/path/to/private.key');
// 使用 RS256 签名
$jwt = JWT::encode($payload, $privateKeyString, 'RS256');注意区别了吗?这里传入的 $privateKeyString 是一个长字符串(PEM 格式),不是简单的密码。
3. 算法混淆攻击(Algorithm Confusion)的高级版
这不仅仅是把 alg 改成 none。有些库对 HS256 的实现有漏洞。
攻击者构造的头部是:
{
"alg": "RS256",
"typ": "JWT"
}但 Payload 里他注入了伪造的数据,并且,他没有用私钥签名,而是直接生成了一个 HMAC-SHA256 的签名。
然后,他把这三部分连起来发给你。
如果你验证的时候,调用了 JWT::decode($jwt, $publicKey, ['RS256']),这看起来没问题吧?因为库检查了头部是 RS256,也检查了提供的公钥是 RS256 算法支持的。
但是! 很多 jwt 库在底层实现时,会进行一次“回退”或者“转换”。如果头部是 HS256,库就会尝试用提供的公钥去进行 HMAC 运算(这是错误的,公钥是用来验签的,不是用来做 HMAC 的)。
如果库的实现不够严谨,或者攻击者极其狡猾地构造了 Payload,可能会导致验证通过。
核心教训: 服务器必须明确告知客户端:“我只接受这个算法”。如果客户端传了别的算法,直接拒绝,不要试图“聪明”地去兼容。
第二部分:Token 失效机制的“物理一致性”——它是纸条,不是长生不老药
这是今天要讲的最重头戏。很多开发者认为 JWT 一旦签发,只要没过期,它就是“永生”的。
大错特错。
JWT 的设计哲学是“无状态”。这意味着服务器不存储 Token 的状态。服务器只负责验签。
这导致了什么?导致了“物理一致性”的崩塌。
1. “过期”是个伪命题
JWT 里确实有个 exp 字段,表示过期时间。
- 场景: 用户登录,Token 有效期 1 小时。1 小时后,Token 确实过期了。
- 问题: 那个 Token 依然在黑客的电脑里。它依然可以用来访问系统,只要黑客在服务器上。服务器只是在验证那行代码
if ($decoded->exp < time()) { return error; }。
如果你的系统依赖于“过期自动失效”,那你是在和物理时间赛跑。一旦服务器时间不对,或者 Token 被泄露,有效期就是个笑话。
2. 黑名单(Revocation)的物理现实
为了解决这个问题,我们要引入“黑名单”。
黑名单是什么?黑名单是服务器里的一张表。当我们想让某个 Token 失效时,我们就往这个表里插一条记录。
问题来了:如果服务器多了怎么办?
假设你有两台服务器:服务器 A 和 服务器 B。
用户在 服务器 A 登录了,Token 被服务器 A 发给了用户。此时,服务器 A 在 Redis 里把这个 Token 加入黑名单。
然后,负载均衡器把请求路由到了 服务器 B。
服务器 B 收到请求,读取 Token。服务器 B 的 Redis 里没有这个 Token 的黑名单记录(因为是在 A 的库里)。
服务器 B 会怎么想?“哦,黑名单里没这玩意儿,那肯定是没被撤销,验证通过!”
这就是物理一致性失败。 黑名单的物理存储位置,必须与 Token 验证的物理位置保持绝对一致。
解决方案(物理一致性工程):
- 共享缓存: Redis 是个好东西,但如果你用 Redis,一定要保证所有服务器连接的是同一个 Redis 实例。如果用了 Redis Cluster,要注意“一致性问题”,虽然 Redis Cluster 解决了这个问题,但数据分片可能会让调试变得复杂。
- 数据库锁: 如果用 MySQL 做黑名单,记得加数据库锁。防止并发撤销导致的问题。
3. 密钥轮换(Key Rotation)的同步噩梦
这是最考验“物理一致性”的环节。
假设你现在有 10 台服务器,它们都在用同一个私钥生成 Token。这本身就很危险(对称加密的弱点)。
现在,运维说:“我们要更换密钥了。”
你把所有 10 台服务器的密钥文件都替换了。现在新 Token 用新密钥签,验证也用新密钥。
物理一致性陷阱:
黑客手里有一张旧密钥签发的 Token。
黑客拿着这张 Token 发起请求。
服务器收到请求,用新密钥去验证。验证失败!
黑客笑了:“哈哈,你们换密钥了,我手里的旧 Token 还能用!”(如果系统允许使用旧 Token 直到过期)。
解决方案:
你需要一种机制,让“旧 Token”在密钥更新后,也能被识别为“已失效”或“待过期”。
这通常涉及:
- 支持多个密钥: 服务器维护一个密钥列表
['key_v1', 'key_v2', 'key_v3']。 - Token 载荷里记录密钥版本:
{"kid": "v1", ...}。头部里也写kid: "v1"。 - 验证逻辑:
- 解析头部,拿到
kid。 - 找到对应的公钥。
- 验证签名。
- 检查密钥是否过期: 如果
kid对应的密钥已经被标记为“已废弃”,那么即使签名通过,也要拒绝。
- 解析头部,拿到
这就像是你的身份证换版了。你手里还有旧版身份证,只要上面的照片还是你,警察叔叔验明正身(签名通过),他就放行。
物理一致性要求: 所有的服务器必须同时更新“已废弃密钥列表”。任何一个服务器还拿着旧的废弃列表,都会导致验证逻辑不一致,进而导致业务中断。
第三部分:实战代码——从“裸奔”到“全副武装”
光说不练假把式。咱们来对比一下,一个没经验的 PHP 开发者写的是什么,一个资深专家写的是什么。
代码示例 1:典型的“新手错误”(看起来能跑,实则裸奔)
<?php
// config.php
define('JWT_SECRET', '123456'); // 典型的弱密钥
define('JWT_ALGORITHM', 'HS256');
// generate_token.php
use FirebaseJWTJWT;
function generateToken($userId) {
$payload = [
'user_id' => $userId,
'iat' => time(),
'exp' => time() + 3600, // 1小时后过期
// 忘记加上 kid (Key ID)
];
// 没有验证 kid,没有验证算法限制
return JWT::encode($payload, JWT_SECRET, JWT_ALGORITHM);
}
// validate_token.php
function validateToken($token) {
try {
$decoded = JWT::decode(
$token,
JWT_SECRET, // 用的是对称密钥,这是不安全的
['HS256'] // 没有强制排除 'none'
);
// 没有检查 Token 是否在黑名单中
// 没有检查密钥是否轮换
return $decoded;
} catch (Exception $e) {
return false;
}
}点评: 这段代码充满了“懒惰”。它把 JWT 当成了会自动生锈的铁门。如果有人把 alg 改成 none,或者密钥被猜到了,系统就完了。
代码示例 2:专家级的“物理一致性”实现(PHP 原生实现,无库依赖)
为了展示原理,我们抛弃第三方库,直接用 PHP 的原生函数(openssl 和 hash)。这能让你看清底层逻辑。
<?php
// 1. 密钥管理(使用非对称加密)
// 假设我们有一个 PEM 格式的私钥文件
$privateKeyFile = '/path/to/private.key';
$publicKeyFile = '/path/to/public.key';
function getKeyPair($file) {
return openssl_pkey_get_private(file_get_contents($file));
}
// 2. 生成 Token(带版本号 Kid)
function createSecureJWT($userId, $secretVersion = 'v1') {
$payload = [
'sub' => $userId, // Subject
'iat' => time(),
'exp' => time() + 3600,
'kid' => $secretVersion, // 绑定密钥版本
'iss' => 'my_api' // 签发者
];
// 读取私钥
$keyPair = getKeyPair($privateKeyFile);
// 头部
$header = json_encode(['typ' => 'JWT', 'alg' => 'RS256', 'kid' => $secretVersion]);
// Base64Url 编码函数
$base64UrlHeader = str_replace(['+', '/', '='], ['-', '_', ''], base64_encode($header));
$base64UrlPayload = str_replace(['+', '/', '='], ['-', '_', ''], base64_encode(json_encode($payload)));
// 创建签名
$signingInput = $base64UrlHeader . "." . $base64UrlPayload;
$signature = '';
openssl_sign($signingInput, $signature, $keyPair, OPENSSL_ALGO_SHA256);
$base64UrlSignature = str_replace(['+', '/', '='], ['-', '_', ''], base64_encode($signature));
return $base64UrlHeader . "." . $base64UrlPayload . "." . $base64UrlSignature;
}
// 3. 验证 Token(核心安全逻辑)
function validateSecureJWT($token) {
$parts = explode('.', $token);
if (count($parts) !== 3) return false;
list($base64UrlHeader, $base64UrlPayload, $base64UrlSignature) = $parts;
// 解码头部
$header = json_decode(base64_decode(str_replace(['-', '_'], ['+', '/'], $base64UrlHeader)), true);
// 严格限制算法
if (!isset($header['alg']) || $header['alg'] !== 'RS256') {
error_log("Invalid Algorithm in Token: " . $header['alg']);
return false;
}
// 检查 Kid 是否在我们的信任列表中
$allowedKeys = ['v1', 'v2', 'v3']; // 这里对应你当前的密钥版本
if (!in_array($header['kid'], $allowedKeys)) {
error_log("Key ID not allowed: " . $header['kid']);
return false;
}
// 解码载荷
$payload = json_decode(base64_decode(str_replace(['-', '_'], ['+', '/'], $base64UrlPayload)), true);
// 时间检查
if (isset($payload['exp']) && $payload['exp'] < time()) {
return false; // Token 过期
}
// --- 物理一致性检查:黑名单 ---
// 假设我们有一个 Redis 客户端 $redis
// $redis = new Redis();
// $redis->connect('127.0.0.1', 6379);
// $blacklistKey = "blacklist:token:" . hash('sha256', $token); // 使用 Token 的哈希作为黑名单键
// if ($redis->exists($blacklistKey)) {
// return false; // Token 被吊销
// }
// --- 物理一致性检查:密钥轮换 ---
// 如果密钥 v1 已经废弃,我们需要确保即使是 v1 签名的 Token,如果 payload 里也标记了版本...
// 或者更简单:如果我们要废弃 v1,就在 allowedKeys 里移除 'v1'。
// 但是,如果黑客手里有 v1 签名的 Token,而我们移除了 v1,这个 Token 就失效了。
// 这就是“物理一致性”带来的副作用:密钥轮换是强制的,且必须全局生效。
// 验证签名
$keyPair = getKeyPair($publicKeyFile);
$signingInput = $base64UrlHeader . "." . $base64UrlPayload;
$signature = base64_decode(str_replace(['-', '_'], ['+', '/'], $base64UrlSignature));
// 验证结果
$isValid = openssl_verify($signingInput, $signature, $keyPair, OPENSSL_ALGO_SHA256);
return $isValid === 1;
}
// 使用示例
try {
$token = createSecureJWT(123);
echo "Token Created: " . $token . "n";
if (validateSecureJWT($token)) {
echo "Validation Success!n";
} else {
echo "Validation Failed.n";
}
} catch (Exception $e) {
echo "Error: " . $e->getMessage();
}代码示例 3:密钥轮换的逻辑
如果我们要把 v1 换成 v2,流程是这样的:
-
停机窗口或维护期:
- 生成新的密钥对(v2)。
- 把 v2 公钥放入服务器配置。
- 把 v1 移出信任列表。
-
物理后果:
- 现在服务器只接受
kid: v2的 Token。 - 所有用户必须重新登录,因为旧的 Token(kid: v1)虽然签名可能通过,但在
allowedKeys检查时会直接被拒绝。
- 现在服务器只接受
-
黑名单的介入:
- 在这个过程中,如果用户登录,系统生成了 v2 Token。
- 如果用户觉得不爽,申请注销。
- 系统把 Token 放入黑名单。
- 如果黑客截获了 v1 Token,想用?
allowedKeys拦截了他。 - 如果黑客截获了 v2 Token,想用?黑名单拦截了他。
这,才是物理一致性。 所有的防御机制——算法限制、密钥版本、过期时间、黑名单——必须像一个精密的齿轮组一样咬合在一起。
第四部分:常见的安全“陷阱”与心理博弈
讲了这么多代码,我们再来聊聊几个让开发者头疼的“坑”。
1. Payload 的明文问题
JWT 的 Payload 是 Base64 编码的,不是加密的。所以,你可以在 Payload 里放敏感信息(比如用户余额、密码哈希)。
如果你的 Payload 包含 {"balance": 999999}, 然后你把 Token 截图发到了群里,或者泄露了,你的系统就完了。
物理一致性启示: JWT 不适合传递频繁变化的、机密的数据。它适合传递元数据(用户 ID、角色、过期时间)。钱,还是查数据库吧。
2. JWT 的攻击面:注入 vs. 篡改
很多人担心 XSS 攻击(跨站脚本)。如果你在网页里直接打印 echo $jwt;,万一有 XSS,黑客能不能改这个 Token?
不能。 签名就是为了防止篡改。除非黑客能拿到你的私钥,否则他改不了 Payload 里的数字。
但是,如果黑客利用了算法混淆漏洞(比如把 alg 改成 none),他就能伪造 Token。所以,防范 XSS 是为了防止用户提交恶意数据,但防范 JWT 攻击是为了防止密钥泄露和算法配置错误。
3. Token 存放位置
Token 是放在 Cookie 里还是 LocalStorage 里?
- Cookie (HttpOnly, Secure): 更安全。防止 XSS 窃取。
- LocalStorage: 容易被 XSS 窃取。
但这涉及到 Token 失效机制。
如果你把 Token 放在 Cookie 里,当你需要登出时,你只需要清除这个 Cookie。物理上,Token 还在,但浏览器不再发送它了。
如果你把 Token 放在 LocalStorage 里,你必须在服务器端把它列入黑名单(因为浏览器会一直发它)。
结语:做一个有“物理感”的工程师
好了,今天的课就上到这儿。
我们回顾一下:
- 算法选型别偷懒。别用
HS256,别用短密钥,别允许none。 - Token 失效机制要有物理意识。无状态不代表不可控。黑名单必须全局共享,密钥轮换必须全局同步。
- 代码实现要严谨。每一行签名验证的代码,都是在为你的系统筑墙。
JWT 就像一把钥匙。如果你把它挂在门把手上,不用把它锁起来,那它就是最差的钥匙。物理一致性,就是确保这把钥匙只有在特定的时间、特定的场景下,才能打开特定的门。
别让你的系统变成那种“早上还能用,下午就被黑”的脆弱玩具。哪怕你用的是 PHP,只要你懂物理,你也能写出坚如磐石的安全防线。
现在,回去把你们的代码检查一遍。别让我再在审计报告里看到 HS256 配合 '123456' 这种笑话了。下课!