Lcobucci/JWT 项目中关于PS256算法支持的技术解析

在JWT（JSON Web Token）的生态系统中，签名算法的选择直接影响着安全性和兼容性。近期Lcobucci/JWT项目中关于PS256（RSASSA-PSS with SHA-256）算法支持的讨论，揭示了现代PHP生态中密码学实现的一些有趣挑战。

PS256算法的技术背景

PS256是基于RSA的概率签名方案（Probabilistic Signature Scheme），相比传统的RS256（RSASSA-PKCS1-v1_5）具有更强的安全性证明。其核心特点在于：

• 每次签名会生成不同的结果（即使相同输入）
• 采用更现代的PSS填充方案
• 被RFC 7518列为JWT可选算法

PHP实现的现状

当前PHP的OpenSSL扩展（截至PHP 8.x）尚未原生支持PS系列算法，这源于底层openssl_sign()函数缺乏对PSS填充的参数支持。虽然OpenSSL库本身具备能力，但PHP扩展层存在功能缺口。

技术实现方案

项目维护者提出了三种实现路径：

1. 纯PHP实现：通过用户空间代码完成PSS填充计算，但面临性能问题：

   • 需要处理大整数运算
   • 无扩展(GMP/BCMath)时性能极低

2. 依赖现有数学库：

   • 使用brick/math处理大整数运算
   • 或集成phpseclib的完整实现
   • 带来额外依赖但保证可靠性

3. 推动PHP核心支持：

   • 建议向php-src提交功能请求
   • 但响应周期不确定

实际解决方案

项目团队最终选择发布独立扩展包lcobucci/jwt-rsassa-pss，特点包括：

• 完整实现PS256/PS384/PS512支持
• 基于phpseclib的可靠后端
• 明确建议优先考虑椭圆曲线算法

安全建议

虽然实现了PS256支持，但安全专家建议：

• RSA算法面临量子计算威胁（Shor算法）
• 密钥长度需求持续增长影响性能
• 现代协议更推荐ECDSA等椭圆曲线方案
• 仅在必须验证PS签名时使用该方案

这个案例典型地展现了密码学演进与现有系统兼容之间的平衡艺术，也为PHP生态中的安全实现提供了有价值的参考。