Sto realizzando la mia google oauth implementazione nel progetto PHP. Tutto funziona correttamente, a meno che non provi a verificare JWT
dopo la richiesta di accesso allo token (https://accounts.google.com/o/oauth2/token).Google OAuth Verifica della firma JWT
Per la decodifica JWT utilizzo la classe firebase/php-jwt.
Decodifica perfettamente, ma se accendo l'opzione $verify
(decode()
metodo 3-rd arg) ottengo: Signature verification failed
eccezione generata.
La mia ipotesi è che, se passo una chiave errata al metodo decode()
. Viene utilizzato in seguito per la funzione hash_hmac()
al termine della generazione della firma.
Quindi la mia domanda è: quale chiave devo passare esattamente per la verifica della firma nel contesto JWT di Google OAuth?
Si noti che sono stati restituiti due certificati Google e che era necessario tentare una verifica con ciascuno in un tentativo/cattura. –