JWT for GitHub集成API的缺陷credentails API

Question

我註冊了GitHub integration並下載了RSA私鑰（PEM文件）。在我的PHP腳本，我使用this library編碼我的道理，以這樣的方式

use Firebase\JWT\JWT; 

$token = [ 
     "iat" => time(), 
     "exp" => time() + 3600, 
     "iss" => $my_integration_id 
]; 
$key = file_get_contents($path_to_pem_file); 
echo JWT::encode($token, $key, "RS256"); 

PEM文件是這樣的（我已經重新生成私鑰）：

-----BEGIN RSA PRIVATE KEY----- 
MIIEpQIBAAKCAQEA1bT61yW2fo4SI6TZXo+3dsyyxitcsw0kdhoGufsEkgdqbpeF 
2/TfJtwYj9Veq11LNHuyoYk51DxUIyoC2Ul45E/s9kOw+qjXDJAOf3z9kq+obcOL 
145ivQwsRF8bB1MQf8YsE/jAhVdxdIfRbw4UG8Fn0RPce/WQ18RI7Li4xfM138RP 
2MQhZsx289ale7n+OtDzzajC4oj9qlaNFFKpSuCVGf6fqnktCOoFu1+ouB/+u3oc 
eneS/qmSxwI7N7MrxOTnoHqhxIiatNFisK85Anc/WZ9duWS9i88GhtK86YMaWnCj 
5nodzFwSF6SzBS+iOrI2AJennOTjsOrtjjQXzQIDAQABAoIBAQDKVhoRTfGljRn7 
iX8NGwFXh6PUIQYZuN3GvAmWWOYQ5NiOcQQaJ5SIlGbk9940XZZw0JVmgCiym5QF 
3ybnV7sQX+Q5ngmYqfdCO7qeVlc3ZP0RP83Nf1BZMYdQDMPogWrjr1vYZPLSzOHs 
tRNEFI5RYSLMQAPHkc9bmsp45sR7FXj+tZEjM3NkcF4n8Jud/ARVAX/tzOWfF6A4 
rhtGJfqYCvEF69J/dsHyy28egawrTxqPd6d1BKLdOh05xHkFL26wtgJWpHcNAZNZ 
DUZs0Twe6Cw3XYQtlUD6D5mkj3zzh5hZ4xsoKftNfD2ZA1N0RVks0j5wrUjPI6jV 
bVDRvvbBAoGBAPp2yjhTuchwpVOcGVYnqF1jVgXssSYdiydUglKtxzhta7c23xqK 
v5B/cWdsz8mIKFmOcjr97GFUT8K6sZG77im05gDBCV7YuIMwekNmZ3m1MqUWtiZY 
sEqCarIYPzQk9iPPxyZrmOVL/5KqlgRj9YmYFzjLpfnaxvk4rIMyVF21AoGBANpu 
NLw7LfufPeSbIkSIeZ6X1ndspuZDzWVjgi0hmVdozMwxT1wmfoinJ27gxhKStwmG 
9kbYE4QbGBSAlkJqoSf8QWVIH+/Qq9/9mbi1T4p+AgJSYiz1voOGnOk0RoJku6Zn 
9XkcGXCUh5ckxWyYbXjHqBqHTXHeJzk9zoRfBuC5AoGBAI1/yPUTkBUGVtCqksHS 
u9KuyS2lr9spu7DnlIzjMnbVkpI6hMa49krLRSU6GxXvP2SBDlX3mLDP8hPAZ4s+ 
0elsErkAVavo4izzmU80rmbbEJamAxgc6NPfZCnjeumZrBlFTGyPQxzf165jg0dN 
ta0baJskqktC50BrXULtjy41AoGANa4j06aPlGj8IvRlJYaMrQcPs+XF1o0PKz2b 
PlAliS++NOhhYnorWpYJwNwIkYPw66x5VcvAcBTghBld1BC0bkk2IRfqkVstAi0m 
3Bfi5lw1TjDE49u46EXqxf0M3vq2ixy9XPgk4GAAOorU4e1L6gTXMT3TMIqyBQVF 
fY6E+DECgYEA22HhPud5KLAX6drbMEe54uttiUrs/K3nft/xTYWU1BIG9r/HPKQh 
3OWD/Dknek+i5hW89OOROPaUmnjaTR3/ARAxTlpxDdBWKu2mCXS/LcdEWdy7teEu 
dDbqqotO4jmTh94FVWgVLDVVmrVSp++fwstI6foPGPABlbsrJxyGUsc= 
-----END RSA PRIVATE KEY----- 

我通過這整個字符串轉換爲JWT::encode，並得到此輸出：

eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiJ9.eyJpYXQiOjE0NzQzOTI0NjQsImV4cCI6MTQ3NDM5NjA2NCwiaXNzIjoyMDF9.ZodSJyrq_SJfLTx4ifnCRWC9cbX1NmqOY3bADcuU7Wc18oZnH3EtZErvLgW6-reuR1-flsNbrji2dL9Zsm3rE-1FtEambcs1Xxynz3PE42yFMimQ5WyiAHdJhbh8-fB0hLIxn2I0oBiJbpZp92Rm2E2xxA1m4lmAubatY0JDR3FS4MmjR-pOZRbkgA4QwaTb0Q7R0tSUaoJo1ETLZoApp5ofsyt5hciB7wogTigA08H4r8TBUuSY4LeHWX9IfmDqHh5gVLDHhFXuLp1Qfm-8ltnLMgcelTmA9QE9NxxVcHQtYvNnE-EvXsh04Oqiyg51eq5cDoc4wA_WhTB4w-9NWg 

我存儲這個輸出（無拖尾換行，我可以證實）成猛砸變量$JWT，並試圖訪問GitHub的API是這樣的：

curl -i -H "Accept: application/vnd.github.machine-man-preview+json"\ 
     -H "Authorization: Bearer $JWT" https://api.github.com/zen 

然而，從GitHub JSON響應是：

{ 
    "message": "Bad credentials", 
    "documentation_url": "https://developer.github.com/v3" 
} 

我懷疑這是失敗，因爲GitHub的API禪並不適用於集成令牌，但這似乎不是問題。特別是，該消息表示它是錯誤的憑據。但我已經遵循GitHub documentation中的所有步驟。我是否錯誤地編寫了PHP腳本？

Answer 1

我已經花了三天的時間來對抗401憑證不良反應。

剛剛得到它的工作，我可以告訴你，你最初的假設是正確的：如果端點沒有設置爲集成，那麼你會得到一個401回。

你應該檢查的另一件事是你發送的時間是整數。發送花車將導致401. （我正在使用Python，並且datetime類沒有轉換爲Unix紀元的方法，所以我寫了自己的回覆小部分秒）

所以：嘗試針對已記錄爲啓用集成的端點嘗試您的現有代碼，並且您可能會發現它的工作原理。

記住，你的第一個請求應該是GET /integration/installations與頭Authorization: Bearer $JWT

然後從響應讀access_tokens_url，產後用相同的授權頭作爲最後一個請求的URL。 （如果您的集成爲一個以上的安裝啓用，那麼你將有多個URL）

然後你會在響應得到token場，在這一點上，你應該修改標題，以便它的Authorization: token $TOKEN 。

您還會獲得使用訪問令牌發回的到期時間，您應該存儲該訪問令牌，以便在必要時重新進行身份驗證。