2024.10.01
【勉強】ミドルウェア・アプリケーションのEOL・EOSLについて学んでみた
2015.02.24
インフラ【Google+OpenID対応】PHP5.2でSHA256回避
こんにちは、JTです。
【サマリ】
PHP5.2で運用されているサービスについて、サーバサイドOpenID認証したときにトークンの検証がSHA256でつまづいたのでエンドポイントで検証した
【前提】
google-api-php-clientに含まれるPem.php
https://github.com/google/google-api-php-client/blob/master/src/Google/Verifier/Pem.php
でのverifyはSHA256で行われている。
public function verify($data, $signature) { $hash = defined("OPENSSL_ALGO_SHA256") ? OPENSSL_ALGO_SHA256 : "sha256"; $status = openssl_verify($data, $signature, $this->publicKey, $hash); if ($status === -1) { throw new Google_Auth_Exception('Signature verification error: ' . openssl_error_string()); } return $status === 1; } }
PHP5.2ではSHA256が扱えないため、ここで通らなくなる。
これに対して、
・http://forums.codescript.in/php/problems-with-ldquoopensslverifyrdquo-in-php-5-2-29946.html
・http://quabr.com/25020320/problems-with-openssl-verify-in-php-5-2
などではとにかくtrueを返せばいい的な解決をしている。確かにそれでも動くけど
エンドポイント(https://www.googleapis.com/oauth2/v1/tokeninfo?id_token=)
利用でとりあえず検証できたので。
【参照:http://christina04.hatenablog.com/entry/2015/01/27/131259】
■改修後のコード
public function verify($jwt, $signature) { $url = "https://www.googleapis.com/oauth2/v1/tokeninfo?id_token=".$jwt; $check = curl_init($url); curl_setopt($check, CURLOPT_AUTOREFERER, true); curl_setopt($check, CURLOPT_FOLLOWLOCATION, true); curl_setopt($check, CURLOPT_RETURNTRANSFER, true); $res = curl_exec($check); curl_close($check); $ary = json_decode($res,true); if ($ary['issuer'] == accounts.google.com && $ary['issued_to'] == fuga && $ary['audience'] == fuga) { return true; } else { throw new Google_Auth_Exception('Signature verification error'); } } }
※curl_setoptについてはhttp://manual.xwd.jp/function.curl-setopt.htmlが詳しい。
CURLOPT_AUTOREFERER:リダイレクトの際にヘッダのRefererを自動的に追加させる
CURLOPT_FOLLOWLOCATION:300系などで既に移転してしまった場合にLocationをたどる様にしておく
CURLOPT_RETURNTRANSFER:curl_exec() の返り値を 文字列で返す。
■呼び出し元のOAuth2.phpでjwtで問い合わせてもらう様に変更
https://github.com/google/google-api-php-client/blob/master/src/Google/Auth/OAuth2.php
// Check signature $verified = false; foreach ($certs as $keyName => $pem) { $public_key = new Google_Verifier_Pem($pem); //if ($public_key->verify($signed, $signature)) { if ($public_key->verify($jwt, $signature)) { $verified = true; break; } }
以上。
【記事への感想募集中!】
記事への感想・ご意見がありましたら、ぜひフォームからご投稿ください!【テクノデジタルではエンジニア/デザイナーを積極採用中です!】
下記項目に1つでも当てはまる方は是非、詳細ページへ!Qangaroo(カンガルー)
【テクノデジタルのインフラサービス】
当社では、多数のサービスの開発実績を活かし、
アプリケーションのパフォーマンスを最大限に引き出すインフラ設計・構築を行います。
AWSなどへのクラウド移行、既存インフラの監視・運用保守も承りますので、ぜひご相談ください。
詳細は下記ページをご覧ください。
最近の記事
タグ検索