php - gree/jose ライブラリで PHP を使用して署名から Webhook を検証する

Question

ヘッダーを使用して webhook 本体を検証するためのサード パーティのドキュメントSignatureに従おうとしています。サード パーティは今後 3P と呼ばれます)。

3P は、Java ライブラリを使用した Kotlin 実装のサンプルを提供しました。私は PHP を使用しており、ライブラリとしてgree/joseを試すことにしました。

サニティ チェックとして、サンプル データを実装にコピーしましたが、まだ誤った結果が得られます。

$signature = '1IJl6VyKU4pYfqMHUd55QBNq5Etbz5a7DOCkID2Nloay76y4f02w2iMXONlyL/Bx9SkrbivOHW1l1XadkUrd5pKUK1fhpcnItukLrsK5ADQOcuEjSLBg9qJffZYooXfc7hOD/fV0sN33W2vBYJspbR3P766DwG/6IO/20f9t/DcSWa79EFZPMnsCicEArNS3iIYBtdZSX5ta5EETt7S8acHbpIlSDrTcYpo0vuz19LQ6SPQqN2LGdR+U7ZOiUQWdfMXhUgE7w94pHQzcOq1IHfw3CylUEcRR/DhrGqs4mBaagO6JpWzeqE1uTAiN579kOtSSqjblTb2AXALTQ3+TtA==';  // taken from "Signature" in headers
$payload = '{"eventId":"569886904","officeId":"132917981","eventType":"INTEGRATION_DEACTIVATED","event":{"integration":{"status":"INACTIVE","webhookId":"2bc47eed-08a0-4d18-a5c0-b7f18ab802e3","officeId":"132917981","createdDateTime":"2020-03-17T23:39:41.804Z","lastUpdatedDateTime":"2020-03-17T23:39:41.804Z"}},"createdDateTime":"2020-03-17T23:39:41.806Z"}';  // this is the body of the request sent to my application
$components = [
    'kty' => 'RSA',
    'e' => 'AQAB',
    'n' => 'ANV-aocctqt5xDRnqomCgsO9dm4hM0Qd75TqG7z2G5Z89JQ7SRy2ok-fIJRiSU5-JfjPc3uph3gSOXyqlNoEh4YGL2R4AP7jhxy9xv0gDVtj1tExB_mmk8EUbmj8hTIrfAgEJrDeB4qMk7MkkKxhHkhLNEJEPZfgYHcHcuKjp2l_vtpiuR9Ouz0febB9K4gLozrp9KHW2K-m0z02-tSurxmmij5nnJ-CEgp0wXcCS4w4G0jve4hcLlL9FU8HKxrb0d4rMQgM3VAal6yG5pwMdtrsch7xA-occwWFC_tHgpDJGNvOJNFtuk7Cit_aom-6U6ssGF13sUtdrog2ePWjVxc=',
    'kid' => '2020-03-18',
    'alg' => 'RSA256',
];  // the $components array values are sourced by a separate API call to the 3P
$rsa = JOSE_JWK::decode($components); // => phpseclib\Crypt\RSA instance
$publicKey = $rsa->createKey()['publickey'];  // this appears to work perfectly
$rsa->loadKey($publicKey);
var_dump($rsa->verify($payload, $rsa->sign($signature)));  // bool(false)

私はこのソフトウェアで 2 日以上もがき苦しんでおり、100 もの異なることを試したような気がします (いくつかの証拠)。gree/jose ライブラリを部分的に放棄しようとさえしました。最終的には、実用的なソリューションが必要なだけです (この実装を修復しているか、別の実装/ライブラリを楽しませているかに関係なく)。

を呼び出す前に文字列を準備する手順が 1 つ (または 2 つ) 不足しているように感じますverify()が、このプロセスに慣れていないため、自分で特定できません。もちろん、暑くなったり寒くverify()なったりしているわけではありません。

行ったことのある場所:

• C# RSA を php に変換するには?
• C#コードから署名された場合、phpでのRSA署名検証が機能しない
• https://hotexamples.com/examples/-/-/openssl_verify/php-openssl_verify-function-examples.html
• https://www.php.net/manual/en/function.openssl-verify.php
• https://en.wikipedia.org/wiki/RSA_(暗号化システム)
• JSON オブジェクトへの署名
• https://tools.ietf.org/id/draft-ietf-jose-json-web-signature-09.html
• https://hotexamples.com/examples/phpseclib.crypt/RSA/verify/php-rsa-verify-method-examples.html
• https://github.com/nov/jose-php