PHP 接入 Apple 登录对 access_token/identityToken 进行 JWT 验证

php Apple 登录 JWT Token 2023-09-14 22:09:27 431人浏览薄情痞子

摘要

需用到 Composer 库：firebase/PHP-Jwt，直接安装即可 composer require firebase/php-jwt 解析 JWT 头简单示例下 UniApp 中通过 u

需用到 Composer 库：firebase/PHP-Jwt，直接安装即可 composer require firebase/php-jwt

解析 JWT 头

简单示例下 UniApp 中通过 uni.login() 方法获取 JWT

let type = 'apple'uni.getProvider({    service: 'oauth',    success: function(res) {        if (res.provider.includes(type)) {            uni.login({                provider: type,                success: function(authed) {                    console.log('三方登录获取用户信息成功', authed)                    // Apple 登录这儿可用 authed.authResult 或 authed.appleInfo 得到授权数据                    // authResult.access_token 与 appleInfo.identityToken 相同；authResult.openid 与 appleInfo.user 相同                    // TODO: 登录请求                },                fail: function(err) {                    console.log('三方登录获取登录信息失败', err)                    if (err.errCode === 1001) {                        // 登录已取消                    } else {                        // 其它错误情况                    }                }            })        } else {            // 当前环境不支持该登录方式        }    },    fail: function(err) {        console.log('获取三方登录信息异常', err)    }})

示例 JWT：eyJhbGCiOiAiUlMyNTYiLCJraWQiOiAiWXV5WG9ZIn0.

注意实际得到的 JWT 很长，但在验证时只需要头部分，所以我们可以先截取头部分：

// 截取至第一个「点」的位置为 JWT 头$header = JSON_decode(base64_decode(substr($token, 0, strpos($token, '.'))), true);

获取 Apple 公钥

公钥可以直接通过接口获取：https://appleid.apple.com/auth/keys

因为不存在变化，建议首次获取后解码 $keys = json_decode($keys, true) 并缓存，下次直接从缓存中拿取

解析 `$keys`（公钥）

这里就需要使用安装的 Composer 库了：

$parsedKeys = \Firebase\JWT\JWK::parseKeySet($keys, true);

获取目标 Key

这里说的目标 Key 也就是 $keys 中用来解码 JWT 的 Key，当然你也许会想循环 $keys，这肯定不河里啊！

最开始获取的 $header 中包含了一个 kid，而解析后的 $parsedKeys 中也存在对应 kid 值的一个键

所以我们可以直接判断：

if (!($parsedKeys[$header['kid']] ?? null)) {    throw new \Exception('JWT decode failed');}

解码获取 OpenID

一定要捕获异常，decode 方法会抛出 7 种不同的异常，有个简单且友好的做法是单独判断过期异常并响应友好提示

try {    $decoded = \Firebase\JWT\JWT::decode($token, $parsedKeys[$header['kid']]);} catch (\Exception $e) {    if ($e instanceof \Firebase\JWT\ExpiredException) {        // 返回友好提示告知用户授权过期    }    // 可直接响应登录异常或参数异常}// JWT 中 sub 即为 OpenID$openId = $decoded->sub;