/var/www/hkosl.com/littleark/webadmin/libraies/firebase/php-jwt/src/JWT.php


1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
<?php

namespace Firebase\JWT;
use \
DomainException;
use \
InvalidArgumentException;
use \
UnexpectedValueException;
use \
DateTime;

/**
 * JSON Web Token implementation, based on this spec:
 * http://tools.ietf.org/html/draft-ietf-oauth-json-web-token-06
 *
 * PHP version 5
 *
 * @category Authentication
 * @package  Authentication_JWT
 * @author   Neuman Vong <neuman@twilio.com>
 * @author   Anant Narayanan <anant@php.net>
 * @license  http://opensource.org/licenses/BSD-3-Clause 3-clause BSD
 * @link     https://github.com/firebase/php-jwt
 */
class JWT
{

    
/**
     * When checking nbf, iat or expiration times,
     * we want to provide some extra leeway time to
     * account for clock skew.
     */
    
public static $leeway 0;

    
/**
     * Allow the current timestamp to be specified.
     * Useful for fixing a value within unit testing.
     *
     * Will default to PHP time() value if null.
     */
    
public static $timestamp null;

    public static 
$supported_algs = array(
        
'HS256' => array('hash_hmac''SHA256'),
        
'HS512' => array('hash_hmac''SHA512'),
        
'HS384' => array('hash_hmac''SHA384'),
        
'RS256' => array('openssl''SHA256'),
    );

    
/**
     * Decodes a JWT string into a PHP object.
     *
     * @param string        $jwt            The JWT
     * @param string|array  $key            The key, or map of keys.
     *                                      If the algorithm used is asymmetric, this is the public key
     * @param array         $allowed_algs   List of supported verification algorithms
     *                                      Supported algorithms are 'HS256', 'HS384', 'HS512' and 'RS256'
     *
     * @return object The JWT's payload as a PHP object
     *
     * @throws UnexpectedValueException     Provided JWT was invalid
     * @throws SignatureInvalidException    Provided JWT was invalid because the signature verification failed
     * @throws BeforeValidException         Provided JWT is trying to be used before it's eligible as defined by 'nbf'
     * @throws BeforeValidException         Provided JWT is trying to be used before it's been created as defined by 'iat'
     * @throws ExpiredException             Provided JWT has since expired, as defined by the 'exp' claim
     *
     * @uses jsonDecode
     * @uses urlsafeB64Decode
     */
    
public static function decode($jwt$key$allowed_algs = array())
    {
        
$timestamp is_null(static::$timestamp) ? time() : static::$timestamp;

        if (empty(
$key)) {
            throw new 
InvalidArgumentException('Key may not be empty');
        }
        if (!
is_array($allowed_algs)) {
            throw new 
InvalidArgumentException('Algorithm not allowed');
        }
        
$tks explode('.'$jwt);
        if (
count($tks) != 3) {
            throw new 
UnexpectedValueException('Wrong number of segments');
        }
        list(
$headb64$bodyb64$cryptob64) = $tks;
        if (
null === ($header = static::jsonDecode(static::urlsafeB64Decode($headb64)))) {
            throw new 
UnexpectedValueException('Invalid header encoding');
        }
        if (
null === $payload = static::jsonDecode(static::urlsafeB64Decode($bodyb64))) {
            throw new 
UnexpectedValueException('Invalid claims encoding');
        }
        
$sig = static::urlsafeB64Decode($cryptob64);
        
        if (empty(
$header->alg)) {
            throw new 
UnexpectedValueException('Empty algorithm');
        }
        if (empty(static::
$supported_algs[$header->alg])) {
            throw new 
UnexpectedValueException('Algorithm not supported');
        }
        if (!
in_array($header->alg$allowed_algs)) {
            throw new 
UnexpectedValueException('Algorithm not allowed');
        }
        if (
is_array($key) || $key instanceof \ArrayAccess) {
            if (isset(
$header->kid)) {
                
$key $key[$header->kid];
            } else {
                throw new 
UnexpectedValueException('"kid" empty, unable to lookup correct key');
            }
        }

        
// Check the signature
        
if (!static::verify("$headb64.$bodyb64"$sig$key$header->alg)) {
            throw new 
SignatureInvalidException('Signature verification failed');
        }

        
// Check if the nbf if it is defined. This is the time that the
        // token can actually be used. If it's not yet that time, abort.
        
if (isset($payload->nbf) && $payload->nbf > ($timestamp + static::$leeway)) {
            throw new 
BeforeValidException(
                
'Cannot handle token prior to ' date(DateTime::ISO8601$payload->nbf)
            );
        }

        
// Check that this token has been created before 'now'. This prevents
        // using tokens that have been created for later use (and haven't
        // correctly used the nbf claim).
        
if (isset($payload->iat) && $payload->iat > ($timestamp + static::$leeway)) {
            throw new 
BeforeValidException(
                
'Cannot handle token prior to ' date(DateTime::ISO8601$payload->iat)
            );
        }

        
// Check if this token has expired.
        
if (isset($payload->exp) && ($timestamp - static::$leeway) >= $payload->exp) {
            throw new 
ExpiredException('Expired token');
        }

        return 
$payload;
    }

    
/**
     * Converts and signs a PHP object or array into a JWT string.
     *
     * @param object|array  $payload    PHP object or array
     * @param string        $key        The secret key.
     *                                  If the algorithm used is asymmetric, this is the private key
     * @param string        $alg        The signing algorithm.
     *                                  Supported algorithms are 'HS256', 'HS384', 'HS512' and 'RS256'
     * @param mixed         $keyId
     * @param array         $head       An array with header elements to attach
     *
     * @return string A signed JWT
     *
     * @uses jsonEncode
     * @uses urlsafeB64Encode
     */
    
public static function encode($payload$key$alg 'HS256'$keyId null$head null)
    {
        
$header = array('typ' => 'JWT''alg' => $alg);
        if (
$keyId !== null) {
            
$header['kid'] = $keyId;
        }
        if ( isset(
$head) && is_array($head) ) {
            
$header array_merge($head$header);
        }
        
$segments = array();
        
$segments[] = static::urlsafeB64Encode(static::jsonEncode($header));
        
$segments[] = static::urlsafeB64Encode(static::jsonEncode($payload));
        
$signing_input implode('.'$segments);

        
$signature = static::sign($signing_input$key$alg);
        
$segments[] = static::urlsafeB64Encode($signature);

        return 
implode('.'$segments);
    }

    
/**
     * Sign a string with a given key and algorithm.
     *
     * @param string            $msg    The message to sign
     * @param string|resource   $key    The secret key
     * @param string            $alg    The signing algorithm.
     *                                  Supported algorithms are 'HS256', 'HS384', 'HS512' and 'RS256'
     *
     * @return string An encrypted message
     *
     * @throws DomainException Unsupported algorithm was specified
     */
    
public static function sign($msg$key$alg 'HS256')
    {
        if (empty(static::
$supported_algs[$alg])) {
            throw new 
DomainException('Algorithm not supported');
        }
        list(
$function$algorithm) = static::$supported_algs[$alg];
        switch(
$function) {
            case 
'hash_hmac':
                return 
hash_hmac($algorithm$msg$keytrue);
            case 
'openssl':
                
$signature '';
                
$success openssl_sign($msg$signature$key$algorithm);
                if (!
$success) {
                    throw new 
DomainException("OpenSSL unable to sign data");
                } else {
                    return 
$signature;
                }
        }
    }

    
/**
     * Verify a signature with the message, key and method. Not all methods
     * are symmetric, so we must have a separate verify and sign method.
     *
     * @param string            $msg        The original message (header and body)
     * @param string            $signature  The original signature
     * @param string|resource   $key        For HS*, a string key works. for RS*, must be a resource of an openssl public key
     * @param string            $alg        The algorithm
     *
     * @return bool
     *
     * @throws DomainException Invalid Algorithm or OpenSSL failure
     */
    
private static function verify($msg$signature$key$alg)
    {
        if (empty(static::
$supported_algs[$alg])) {
            throw new 
DomainException('Algorithm not supported');
        }

        list(
$function$algorithm) = static::$supported_algs[$alg];
        switch(
$function) {
            case 
'openssl':
                
$success openssl_verify($msg$signature$key$algorithm);
                if (!
$success) {
                    throw new 
DomainException("OpenSSL unable to verify data: " openssl_error_string());
                } else {
                    return 
$signature;
                }
            case 
'hash_hmac':
            default:
                
$hash hash_hmac($algorithm$msg$keytrue);
                if (
function_exists('hash_equals')) {
                    return 
hash_equals($signature$hash);
                }
                
$len min(static::safeStrlen($signature), static::safeStrlen($hash));

                
$status 0;
                for (
$i 0$i $len$i++) {
                    
$status |= (ord($signature[$i]) ^ ord($hash[$i]));
                }
                
$status |= (static::safeStrlen($signature) ^ static::safeStrlen($hash));

                return (
$status === 0);
        }
    }

    
/**
     * Decode a JSON string into a PHP object.
     *
     * @param string $input JSON string
     *
     * @return object Object representation of JSON string
     *
     * @throws DomainException Provided string was invalid JSON
     */
    
public static function jsonDecode($input)
    {
        if (
version_compare(PHP_VERSION'5.4.0''>=') && !(defined('JSON_C_VERSION') && PHP_INT_SIZE 4)) {
            
/** In PHP >=5.4.0, json_decode() accepts an options parameter, that allows you
             * to specify that large ints (like Steam Transaction IDs) should be treated as
             * strings, rather than the PHP default behaviour of converting them to floats.
             */
            
$obj json_decode($inputfalse512JSON_BIGINT_AS_STRING);
        } else {
            
/** Not all servers will support that, however, so for older versions we must
             * manually detect large ints in the JSON string and quote them (thus converting
             *them to strings) before decoding, hence the preg_replace() call.
             */
            
$max_int_length strlen((string) PHP_INT_MAX) - 1;
            
$json_without_bigints preg_replace('/:\s*(-?\d{'.$max_int_length.',})/'': "$1"'$input);
            
$obj json_decode($json_without_bigints);
        }

        if (
function_exists('json_last_error') && $errno json_last_error()) {
            static::
handleJsonError($errno);
        } elseif (
$obj === null && $input !== 'null') {
            throw new 
DomainException('Null result with non-null input');
        }
        return 
$obj;
    }

    
/**
     * Encode a PHP object into a JSON string.
     *
     * @param object|array $input A PHP object or array
     *
     * @return string JSON representation of the PHP object or array
     *
     * @throws DomainException Provided object could not be encoded to valid JSON
     */
    
public static function jsonEncode($input)
    {
        
$json json_encode($input);
        if (
function_exists('json_last_error') && $errno json_last_error()) {
            static::
handleJsonError($errno);
        } elseif (
$json === 'null' && $input !== null) {
            throw new 
DomainException('Null result with non-null input');
        }
        return 
$json;
    }

    
/**
     * Decode a string with URL-safe Base64.
     *
     * @param string $input A Base64 encoded string
     *
     * @return string A decoded string
     */
    
public static function urlsafeB64Decode($input)
    {
        
$remainder strlen($input) % 4;
        if (
$remainder) {
            
$padlen $remainder;
            
$input .= str_repeat('='$padlen);
        }
        return 
base64_decode(strtr($input'-_''+/'));
    }

    
/**
     * Encode a string with URL-safe Base64.
     *
     * @param string $input The string you want encoded
     *
     * @return string The base64 encode of what you passed in
     */
    
public static function urlsafeB64Encode($input)
    {
        return 
str_replace('='''strtr(base64_encode($input), '+/''-_'));
    }

    
/**
     * Helper method to create a JSON error.
     *
     * @param int $errno An error number from json_last_error()
     *
     * @return void
     */
    
private static function handleJsonError($errno)
    {
        
$messages = array(
            
JSON_ERROR_DEPTH => 'Maximum stack depth exceeded',
            
JSON_ERROR_CTRL_CHAR => 'Unexpected control character found',
            
JSON_ERROR_SYNTAX => 'Syntax error, malformed JSON'
        
);
        throw new 
DomainException(
            isset(
$messages[$errno])
            ? 
$messages[$errno]
            : 
'Unknown JSON error: ' $errno
        
);
    }

    
/**
     * Get the number of bytes in cryptographic strings.
     *
     * @param string
     *
     * @return int
     */
    
private static function safeStrlen($str)
    {
        if (
function_exists('mb_strlen')) {
            return 
mb_strlen($str'8bit');
        }
        return 
strlen($str);
    }
}