メニューを閉じる

テクノデジタルグループ

メニューを開く

2015.02.24

インフラ

【Google+OpenID対応】PHP5.2でSHA256回避

こんにちは、JTです。

【サマリ】

PHP5.2で運用されているサービスについて、サーバサイドOpenID認証したときにトークンの検証がSHA256でつまづいたのでエンドポイントで検証した

【前提】
google-api-php-clientに含まれるPem.php
https://github.com/google/google-api-php-client/blob/master/src/Google/Verifier/Pem.php
でのverifyはSHA256で行われている。

public function verify($data, $signature)
{
$hash = defined("OPENSSL_ALGO_SHA256") ? OPENSSL_ALGO_SHA256 : "sha256";
$status = openssl_verify($data, $signature, $this->publicKey, $hash);
if ($status === -1) {
throw new Google_Auth_Exception('Signature verification error: ' . openssl_error_string());
}
return $status === 1;
}
}

PHP5.2ではSHA256が扱えないため、ここで通らなくなる。
これに対して、
・http://forums.codescript.in/php/problems-with-ldquoopensslverifyrdquo-in-php-5-2-29946.html
・http://quabr.com/25020320/problems-with-openssl-verify-in-php-5-2
などではとにかくtrueを返せばいい的な解決をしている。確かにそれでも動くけど
エンドポイント(https://www.googleapis.com/oauth2/v1/tokeninfo?id_token=)
利用でとりあえず検証できたので。
【参照:http://christina04.hatenablog.com/entry/2015/01/27/131259】

 

■改修後のコード

 public function verify($jwt, $signature)
 {
 $url = "https://www.googleapis.com/oauth2/v1/tokeninfo?id_token=".$jwt;
 $check = curl_init($url);
 curl_setopt($check, CURLOPT_AUTOREFERER, true);
 curl_setopt($check, CURLOPT_FOLLOWLOCATION, true);
 curl_setopt($check, CURLOPT_RETURNTRANSFER, true);
 $res = curl_exec($check);
 curl_close($check);

 $ary = json_decode($res,true);
 if ($ary['issuer'] == accounts.google.com && $ary['issued_to'] == fuga && $ary['audience'] == fuga)
 {
 return true;
 } else
 {
 throw new Google_Auth_Exception('Signature verification error');
 }
 }
}

※curl_setoptについてはhttp://manual.xwd.jp/function.curl-setopt.htmlが詳しい。
CURLOPT_AUTOREFERER:リダイレクトの際にヘッダのRefererを自動的に追加させる
CURLOPT_FOLLOWLOCATION:300系などで既に移転してしまった場合にLocationをたどる様にしておく
CURLOPT_RETURNTRANSFER:curl_exec() の返り値を 文字列で返す。

 

 

■呼び出し元のOAuth2.phpでjwtで問い合わせてもらう様に変更
https://github.com/google/google-api-php-client/blob/master/src/Google/Auth/OAuth2.php

 // Check signature
$verified = false;
foreach ($certs as $keyName => $pem) {
$public_key = new Google_Verifier_Pem($pem);
//if ($public_key->verify($signed, $signature)) {
if ($public_key->verify($jwt, $signature)) {
$verified = true;
break;
}
}

以上。


【記事への感想募集中!】

記事への感想・ご意見がありましたら、ぜひフォームからご投稿ください!
  • こんな記事が読んでみたい、こんなことが知りたい、調べてほしい!という意見も募集中!
  • いただいた感想は今後の記事に活かしたいと思います!

感想フォームはこちら


【テクノデジタルではエンジニア/デザイナーを積極採用中です!】

下記項目に1つでも当てはまる方は是非、詳細ページへ!
  • 自分でアプリを作ってみたい
  • ITで世の中にワクワクを生み出したい
  • 使いやすさ、デザインにこだわったWebサイトを開発したい

採用情報の詳細はこちら


Qangaroo(カンガルー)

  • 徹底した見やすさと優れた操作性で、テストの「見える化」を実現。
  • テストの進捗が見える。開発がスマートに進む。
  • クラウド型テスト管理ツール『Qangaroo(カンガルー)』

【テクノデジタルのインフラサービス】

当社では、多数のサービスの開発実績を活かし、
アプリケーションのパフォーマンスを最大限に引き出すインフラ設計・構築を行います。
AWSなどへのクラウド移行、既存インフラの監視・運用保守も承りますので、ぜひご相談ください。
詳細は下記ページをご覧ください。

https://www.tcdigital.jp/infrastructure/

最近の記事