Почему неправильно работает авторизация через jwt токен?

Question

[wedytd]

Имеем rest api, при авторизации /api/user-login токен генерируется без ошибок авторизации, с использованием того же токена в /api/user-profile проходит без проблем. При использовании токена в методе /api/forum-new-message ошибка что токен якобы неверный. Я убрал этот код и выяснилось что возникает ошибка при расшифровке токена но почему? Код везде одинаковый, методы разные. Uncaught UnexpectedValueException: Wrong number of segments

<?php
require $_SERVER['DOCUMENT_ROOT'].'/engine/core.php';
use RedBeanPHP\R;
use Firebase\JWT\JWT;
use Firebase\JWT\Key;
header('Content-Type: application/json');
if ($_SERVER['REQUEST_METHOD'] == 'POST') {
    $token = htmlspecialchars($_POST['token']);
    if(empty($token)){
        echo json_encode(['status' => 'error', 'message' => 'Токен не может быть пустым!']);
    }
    $key = $_ENV['SECRET_KEY'];

    try {
        $decoded = JWT::decode($token, new Key($key, 'HS256'));
        $userId = $decoded->userId;
        $user = R::load('users', $userId);
        $userData = [
            'nickname' => $user->nickname,
            'email' => $user->email,
            'status' => $user->status,
            'register_date' => $user->register_date
        ];
        echo json_encode(['status' => 'success', 'data' => $userData]);
    } catch (ExpiredException $e) {
        echo json_encode(['status' => 'error', 'message' => 'Токен устарел!']);
    } catch (SignatureInvalidException $e) {
        echo json_encode(['status' => 'error', 'message' => 'Неверная подпись токена!']);
    } catch (Exception $e) {
        echo json_encode(['status' => 'error', 'message' => 'Неверный токен!']);
    }
} else {
    echo json_encode(['status' => 'error', 'message' => 'Метод не поддерживается!'], JSON_UNESCAPED_UNICODE);
}

<?php
require $_SERVER['DOCUMENT_ROOT'].'/engine/core.php';
use RedBeanPHP\R;
use Firebase\JWT\JWT;
use Firebase\JWT\Key;
header('Content-Type: application/json');
if ($_SERVER['REQUEST_METHOD'] == 'POST') {
    $token = htmlspecialchars(isset($_POST['token']));
    $message = htmlspecialchars(isset($_POST['message']));
    $subtopic_id = intval(isset($_POST['subtopic_id']));
    if(empty($token) || empty($message) || empty($subtopic_id)){
        echo json_encode(['status' => 'error', 'message' => 'Заполните все поля!']);
        exit;
    }
    $key = $_ENV['SECRET_KEY'];

    //try {
        $decoded = JWT::decode($token, new Key($key, 'HS256')); //Тут ошибка
        $userId = $decoded->userId;
        $subtopic = R::load('forum_subtopics', $subtopic_id);
        if (!$subtopic) {
            echo json_encode(['status' => 'error', 'message' => 'Подтема не найдена!']);
            exit;
        }
        $newMessage = R::dispense('forum_messages');
        $newMessage->subtopic_id = $subtopic_id;
        $newMessage->message = $message;
        $newMessage->user_id = $userId;
        $messageId = R::store($newMessage);
        echo json_encode(['status' => 'success', 'message' => 'Сообщение опубликовано!']);
    /*
    } catch (ExpiredException $e) {
        echo json_encode(['status' => 'error', 'message' => 'Токен устарел!']);
    } catch (SignatureInvalidException $e) {
        echo json_encode(['status' => 'error', 'message' => 'Неверная подпись токена!']);
    } catch (Exception $e) {
        echo json_encode(['status' => 'error', 'message' => 'Неверный токен!']);
    }
    */
} else {
    echo json_encode(['status' => 'error', 'message' => 'Метод не поддерживается!'], JSON_UNESCAPED_UNICODE);
}

Comments

[nokimaro]

<?php
$_POST['token'] = 'abc';
$token = htmlspecialchars(isset($_POST['token']));

var_dump($token);

Угадайте почему в $token получаем "1" ?

[nokimaro]

Ну и это не "одинаковый код"
$token = htmlspecialchars($_POST['token']);
и
$token = htmlspecialchars(isset($_POST['token']));

[Rsa97]

Когда перехватываете исключения, пишите в лог и/или добавляйте к тексту ошибки данные этого исключения, как минимум $e->getMessage().

Answer 1

[nokimaro]

$token = htmlspecialchars(isset($_POST['token']));
$message = htmlspecialchars(isset($_POST['message']));
$subtopic_id = intval(isset($_POST['subtopic_id']));

превращают переданные значения в string/int "1" или "0" так как результат isset() - bool

корректный вариант скорее всего такой

<?php
$token = htmlspecialchars($_POST['token'] ?? '');
$message = htmlspecialchars($_POST['message'] ?? '');
$subtopic_id = intval($_POST['subtopic_id'] ?? 0);

чтобы понять где ошибка достаточно было посмотреть значение $token которое попадает в JWT::decode и там бы увидели "1" вместо переданного токена.

Comments

[wedytd]

Убрал всё лишнее оставил только POST, токен так-же неверный

[nokimaro]

wedytd, ну я написал, посмотрите значение $token которое попадает в jwt::decode чтобы понять правильное там значение или нет

[nokimaro]

если там не "1" а уже нормальный токен то как минимум ошибка будет не "Wrong number of segments", а другая. Может быть token expired например.

[wedytd]

Значения правильные

{
    "status": "error",
    "message": "Неверный токен!",
    "post_token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpYXQiOjE3MTQ3MzQyODAsImp0aSI6IlFaQmhUMWxMeGpvSUE3QWkxT3BtNFJ2U2tyNC9OeVc0M211U09Fdlg0a1U9IiwiaXNzIjpmYWxzZSwibmJmIjoxNzE0NzM0MjgwLCJleHAiOjE3MTUzMzkwODAsInVzZXJJZCI6IjEifQ.dZxPzMQDEyi-NuZF6fVTigOvnXbeh7GTtU5HP2YH27I",
    "post_message": "test",
    "post_subbtopic_id": 45
}

[wedytd]

Теперь ругается на Invalid Type в первой строке

$newMessage = R::dispense('forum_messages');
        $newMessage->subtopic_id = $subtopic_id;
        $newMessage->message = $message;
        $newMessage->user_id = $userId;
        $messageId = R::store($newMessage);

[nokimaro]

wedytd, к сожалению писать и отлаживать свой код вам придётся учиться самому.
xdebug / var_dump и логи ошибок тут ваши лучшие друзья

конкретно по вопросу я написал ответ в чём была проблема, в том что переменная из $_POST была обёрнута в isset() что меняло её значение.

[wedytd]

Спасибо, ещё была проблема в том что в название таблицы был символ _