Subversion Repositories oidplus

Rev

Rev 1300 | Rev 1303 | Go to most recent revision | Blame | Compare with Previous | Last modification | View Log | RSS feed

  1. <?php
  2.  
  3. /*
  4.  * OIDplus 2.0
  5.  * Copyright 2019 - 2023 Daniel Marschall, ViaThinkSoft
  6.  *
  7.  * Licensed under the Apache License, Version 2.0 (the "License");
  8.  * you may not use this file except in compliance with the License.
  9.  * You may obtain a copy of the License at
  10.  *
  11.  *     http://www.apache.org/licenses/LICENSE-2.0
  12.  *
  13.  * Unless required by applicable law or agreed to in writing, software
  14.  * distributed under the License is distributed on an "AS IS" BASIS,
  15.  * WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
  16.  * See the License for the specific language governing permissions and
  17.  * limitations under the License.
  18.  */
  19.  
  20. namespace ViaThinkSoft\OIDplus;
  21.  
  22. // phpcs:disable PSR1.Files.SideEffects
  23. \defined('INSIDE_OIDPLUS') or die;
  24. // phpcs:enable PSR1.Files.SideEffects
  25.  
  26. class OIDplusAuthContentStoreJWT extends OIDplusAuthContentStore {
  27.  
  28.         /**
  29.          * Cookie name for the JWT auth token
  30.          */
  31.         const COOKIE_NAME = 'OIDPLUS_AUTH_JWT';
  32.  
  33.         /**
  34.          * "Automated AJAX" plugin
  35.          */
  36.         const JWT_GENERATOR_AJAX   = 10;
  37.         /**
  38.          * "REST API" plugin
  39.          */
  40.         const JWT_GENERATOR_REST   = 20;
  41.         /**
  42.          * "Remember me" login method
  43.          */
  44.         const JWT_GENERATOR_LOGIN  = 40;
  45.         /**
  46.          * "Manually crafted" JWT tokens
  47.          */
  48.         const JWT_GENERATOR_MANUAL = 80;
  49.  
  50.         /**
  51.          * @param int $gen OIDplusAuthContentStoreJWT::JWT_GENERATOR_...
  52.          * @param string $sub
  53.          * @return string
  54.          */
  55.         private static function jwtGetBlacklistConfigKey(int $gen, string $sub): string {
  56.                 // Note: Needs to be <= 50 characters! If $gen is 2 chars, then the config key is 49 chars long
  57.                 return 'jwt_blacklist_gen('.$gen.')_sub('.trim(base64_encode(md5($sub,true)),'=').')';
  58.         }
  59.  
  60.         /**
  61.          * @param int $gen
  62.          */
  63.         private static function generatorName($gen) {
  64.                 // Note: The strings are not translated, because the name is used in config keys or logs
  65.                 if ($gen === self::JWT_GENERATOR_AJAX)   return 'Automated AJAX calls';
  66.                 if ($gen === self::JWT_GENERATOR_REST)   return 'REST API';
  67.                 if ($gen === self::JWT_GENERATOR_LOGIN)  return 'Login ("Remember me")';
  68.                 if ($gen === self::JWT_GENERATOR_MANUAL) return 'Manually created';
  69.                 return 'Unknown generator';
  70.         }
  71.  
  72.         /**
  73.          * @param int $gen OIDplusAuthContentStoreJWT::JWT_GENERATOR_...
  74.          * @param string $sub
  75.          * @return void
  76.          * @throws OIDplusException
  77.          */
  78.         public static function jwtBlacklist(int $gen, string $sub) {
  79.                 $cfg = self::jwtGetBlacklistConfigKey($gen, $sub);
  80.                 $bl_time = time()-1;
  81.  
  82.                 $gen_desc = self::generatorName($gen);
  83.  
  84.                 OIDplus::config()->prepareConfigKey($cfg, 'Revoke timestamp of all JWT tokens for $sub with generator $gen ($gen_desc)', "$bl_time", OIDplusConfig::PROTECTION_HIDDEN, function($value) {});
  85.                 OIDplus::config()->setValue($cfg, $bl_time);
  86.         }
  87.  
  88.         /**
  89.          * @param int $gen OIDplusAuthContentStoreJWT::JWT_GENERATOR_...
  90.          * @param string $sub
  91.          * @return int
  92.          * @throws OIDplusException
  93.          */
  94.         public static function jwtGetBlacklistTime(int $gen, string $sub): int {
  95.                 $cfg = self::jwtGetBlacklistConfigKey($gen, $sub);
  96.                 return (int)OIDplus::config()->getValue($cfg,0);
  97.         }
  98.  
  99.         /**
  100.          * We include a hash of the server-secret here (ssh = server-secret-hash), so that the JWT can be invalidated by changing the server-secret
  101.          * @return string
  102.          * @throws OIDplusException
  103.          */
  104.         private static function getSsh(): string {
  105.                 return OIDplus::authUtils()->makeSecret(['bb1aebd6-fe6a-11ed-a553-3c4a92df8582']);
  106.         }
  107.  
  108.         /**
  109.          * Do various checks if the token is allowed and not blacklisted
  110.          * @param OIDplusAuthContentStore $contentProvider
  111.          * @param int|null $validGenerators Bitmask which generators to allow (null = allow all)
  112.          * @return void
  113.          * @throws OIDplusException
  114.          */
  115.         private static function jwtSecurityCheck(OIDplusAuthContentStore $contentProvider, int $validGenerators=null) {
  116.                 // Check if the token is intended for us
  117.                 if ($contentProvider->getValue('aud','') !== OIDplus::getEditionInfo()['jwtaud']) {
  118.                         throw new OIDplusException(_L('Token has wrong audience'));
  119.                 }
  120.  
  121.                 if ($contentProvider->getValue('oidplus_ssh', '') !== self::getSsh()) {
  122.                         throw new OIDplusException(_L('"Server Secret" was changed; therefore the JWT is not valid anymore'));
  123.                 }
  124.  
  125.                 $gen = $contentProvider->getValue('oidplus_generator', -1);
  126.  
  127.                 $has_admin = $contentProvider->isAdminLoggedIn();
  128.                 $has_ra = $contentProvider->raNumLoggedIn() > 0;
  129.  
  130.                 // Check if the token generator is allowed
  131.                 if ($gen === self::JWT_GENERATOR_AJAX) {
  132.                         if (($has_admin) && !OIDplus::baseConfig()->getValue('JWT_ALLOW_AJAX_ADMIN', true)) {
  133.                                 // Generator: plugins/viathinksoft/adminPages/910_automated_ajax_calls/OIDplusPageAdminAutomatedAJAXCalls.class.php
  134.                                 throw new OIDplusException(_L('The administrator has disabled this feature. (Base configuration setting %1).','JWT_ALLOW_AJAX_ADMIN'));
  135.                         }
  136.                         if (($has_ra) && !OIDplus::baseConfig()->getValue('JWT_ALLOW_AJAX_USER', true)) {
  137.                                 // Generator: plugins/viathinksoft/raPages/910_automated_ajax_calls/OIDplusPageRaAutomatedAJAXCalls.class.php
  138.                                 throw new OIDplusException(_L('The administrator has disabled this feature. (Base configuration setting %1).','JWT_ALLOW_AJAX_USER'));
  139.                         }
  140.                 }
  141.                 else if ($gen === self::JWT_GENERATOR_REST) {
  142.                         if (($has_admin) && !OIDplus::baseConfig()->getValue('JWT_ALLOW_REST_ADMIN', true)) {
  143.                                 // Generator: plugins/viathinksoft/adminPages/911_rest_api/OIDplusPageAdminRestApi.class.php
  144.                                 throw new OIDplusException(_L('The administrator has disabled this feature. (Base configuration setting %1).','JWT_ALLOW_REST_ADMIN'));
  145.                         }
  146.                         if (($has_ra) && !OIDplus::baseConfig()->getValue('JWT_ALLOW_REST_USER', true)) {
  147.                                 // Generator: plugins/viathinksoft/raPages/911_rest_api/OIDplusPageRaRestApi.class.php
  148.                                 throw new OIDplusException(_L('The administrator has disabled this feature. (Base configuration setting %1).','JWT_ALLOW_REST_USER'));
  149.                         }
  150.                 }
  151.                 else if ($gen === self::JWT_GENERATOR_LOGIN) {
  152.                         // Used for feature "Remember me" (use JWT token in a cookie as alternative to PHP session):
  153.                         // - No PHP session will be used
  154.                         // - Session will not be bound to IP address (therefore, you can switch between mobile/WiFi for example)
  155.                         // - No server-side session needed
  156.                         if (($has_admin) && !OIDplus::baseConfig()->getValue('JWT_ALLOW_LOGIN_ADMIN', true)) {
  157.                                 throw new OIDplusException(_L('The administrator has disabled this feature. (Base configuration setting %1).','JWT_ALLOW_LOGIN_ADMIN'));
  158.                         }
  159.                         if (($has_ra) && !OIDplus::baseConfig()->getValue('JWT_ALLOW_LOGIN_USER', true)) {
  160.                                 throw new OIDplusException(_L('The administrator has disabled this feature. (Base configuration setting %1).','JWT_ALLOW_LOGIN_USER'));
  161.                         }
  162.                 }
  163.                 else if ($gen === self::JWT_GENERATOR_MANUAL) {
  164.                         // Generator: "hand-crafted" tokens
  165.                         if (($has_admin) && !OIDplus::baseConfig()->getValue('JWT_ALLOW_MANUAL_ADMIN', false)) {
  166.                                 throw new OIDplusException(_L('The administrator has disabled this feature. (Base configuration setting %1).','JWT_ALLOW_MANUAL_ADMIN'));
  167.                         }
  168.                         if (($has_ra) && !OIDplus::baseConfig()->getValue('JWT_ALLOW_MANUAL_USER', false)) {
  169.                                 throw new OIDplusException(_L('The administrator has disabled this feature. (Base configuration setting %1).','JWT_ALLOW_MANUAL_USER'));
  170.                         }
  171.                 } else {
  172.                         throw new OIDplusException(_L('Token generator %1 not recognized',$gen));
  173.                 }
  174.  
  175.                 // Make sure that the IAT (issued at time) isn't in a blacklisted timeframe
  176.                 // When an user believes that a token was compromised, then they can blacklist the tokens identified by their "iat" ("Issued at") property
  177.                 // When a user logs out of a "remember me" session, the JWT token will be blacklisted as well
  178.                 // Small side effect: All "remember me" sessions of that user will be revoked then
  179.                 $iat = $contentProvider->getValue('iat',0);
  180.                 if (($iat-120/*leeway 2min*/) > time()) {
  181.                         // Token was created in the future. Something is wrong!
  182.                         throw new OIDplusException(_L('JWT Token cannot be verified because the server time is wrong'));
  183.                 }
  184.                 $sublist = $contentProvider->loggedInRaList();
  185.                 $usernames = array();
  186.                 foreach ($sublist as $sub) {
  187.                         $usernames[] = $sub->raEmail();
  188.                 }
  189.                 if ($has_admin) $usernames[] = 'admin';
  190.                 foreach ($usernames as $username) {
  191.                         $bl_time = self::jwtGetBlacklistTime($gen, $username);
  192.                         if ($iat <= $bl_time) {
  193.                                 // Token is blacklisted (it was created before the last blacklist time)
  194.                                 throw new OIDplusException(_L('The JWT token was blacklisted on %1. Please generate a new one',date('d F Y, H:i:s',$bl_time)));
  195.                         }
  196.                 }
  197.  
  198.                 // Optional feature: Limit the JWT to a specific IP address
  199.                 // Currently not used in OIDplus
  200.                 $ip = $contentProvider->getValue('oidplus_limit_ip','');
  201.                 if ($ip !== '') {
  202.                         if (isset($_SERVER['REMOTE_ADDR']) && ($ip !== $_SERVER['REMOTE_ADDR'])) {
  203.                                 throw new OIDplusException(_L('Your IP address is not allowed to use this token'));
  204.                         }
  205.                 }
  206.  
  207.                 // Checks if JWT are dependent on the generator
  208.                 if (!is_null($validGenerators)) {
  209.                         if (($gen & $validGenerators) === 0) {
  210.                                 throw new OIDplusException(_L('This kind of JWT token (%1) cannot be used in this request type', self::generatorName($gen)));
  211.                         }
  212.                 }
  213.         }
  214.  
  215.         // Override abstract functions
  216.  
  217.         /**
  218.          * @var array
  219.          */
  220.         protected $content = array();
  221.  
  222.         /**
  223.          * @param string $name
  224.          * @param mixed|null $default
  225.          * @return mixed|null
  226.          */
  227.         public function getValue(string $name, $default = NULL) {
  228.                 return $this->content[$name] ?? $default;
  229.         }
  230.  
  231.         /**
  232.          * @param string $name
  233.          * @param mixed $value
  234.          * @return void
  235.          */
  236.         public function setValue(string $name, $value) {
  237.                 $this->content[$name] = $value;
  238.         }
  239.  
  240.         /**
  241.          * @param string $name
  242.          * @return bool
  243.          */
  244.         public function exists(string $name): bool {
  245.                 return isset($this->content[$name]);
  246.         }
  247.  
  248.         /**
  249.          * @param string $name
  250.          * @return void
  251.          */
  252.         public function delete(string $name) {
  253.                 unset($this->content[$name]);
  254.         }
  255.  
  256.         /**
  257.          * @return void
  258.          */
  259.         public function activate() {
  260.                 // Send cookie at the end of the HTTP request, in case there are multiple activate() calls
  261.                 OIDplus::register_shutdown_function(array($this,'activateNow'));
  262.         }
  263.  
  264.         /**
  265.          * @return void
  266.          * @throws OIDplusException
  267.          */
  268.         public function activateNow() {
  269.                 $token = $this->getJWTToken();
  270.                 $exp = $this->getValue('exp',0);
  271.                 OIDplus::cookieUtils()->setcookie(self::COOKIE_NAME, $token, $exp, false);
  272.         }
  273.  
  274.         /**
  275.          * @return void
  276.          * @throws OIDplusException
  277.          */
  278.         public function destroySession() {
  279.                 OIDplus::cookieUtils()->unsetcookie(self::COOKIE_NAME);
  280.         }
  281.  
  282.         /**
  283.          * @param string $email
  284.          * @return void
  285.          * @throws OIDplusException
  286.          */
  287.         public function raLogout(string $email) {
  288.                 $gen = $this->getValue('oidplus_generator', -1);
  289.                 if ($gen >= 0) self::jwtBlacklist($gen, $email);
  290.                 parent::raLogout($email);
  291.         }
  292.  
  293.         /**
  294.          * @param string $email
  295.          * @param string $loginfo
  296.          * @return void
  297.          * @throws OIDplusException
  298.          */
  299.         public function raLogoutEx(string $email, string &$loginfo) {
  300.                 $this->raLogout($email);
  301.                 $loginfo = 'from JWT session';
  302.         }
  303.  
  304.         /**
  305.          * @return void
  306.          * @throws OIDplusException
  307.          */
  308.         public function adminLogout() {
  309.                 $gen = $this->getValue('oidplus_generator', -1);
  310.                 if ($gen >= 0) self::jwtBlacklist($gen, 'admin');
  311.                 parent::adminLogout();
  312.         }
  313.  
  314.         /**
  315.          * @param string $loginfo
  316.          * @return void
  317.          * @throws OIDplusException
  318.          */
  319.         public function adminLogoutEx(string &$loginfo) {
  320.                 $this->adminLogout();
  321.                 $loginfo = 'from JWT session';
  322.         }
  323.  
  324.         private static $contentProvider = null;
  325.  
  326.         /**
  327.          * @return OIDplusAuthContentStore|null
  328.          * @throws OIDplusException
  329.          */
  330.         public static function getActiveProvider()/*: ?OIDplusAuthContentStore*/ {
  331.                 if (!self::$contentProvider) {
  332.  
  333.                         $tmp = null;
  334.                         $silent_error = false;
  335.  
  336.                         try {
  337.  
  338.                                 $rel_url = substr($_SERVER['REQUEST_URI'], strlen(OIDplus::webpath(null, OIDplus::PATH_RELATIVE_TO_ROOT)));
  339.                                 if (str_starts_with($rel_url, 'rest/')) { // <== TODO: Find a way how to move this into the plugin, since REST does not belong to the core.
  340.  
  341.                                         // REST may only use Bearer Authentication
  342.                                         $bearer = getBearerToken();
  343.                                         if (!is_null($bearer)) {
  344.                                                 $silent_error = false;
  345.                                                 $tmp = new OIDplusAuthContentStoreJWT();
  346.                                                 $tmp->loadJWT($bearer);
  347.                                                 self::jwtSecurityCheck($tmp, self::JWT_GENERATOR_REST | self::JWT_GENERATOR_MANUAL);
  348.                                         }
  349.  
  350.                                 } else {
  351.  
  352.                                         // A web-visitor (HTML and AJAX, but not REST) can use a JWT "remember me" Cookie
  353.                                         if (isset($_COOKIE[self::COOKIE_NAME])) {
  354.                                                 $silent_error = true;
  355.                                                 $tmp = new OIDplusAuthContentStoreJWT();
  356.                                                 $tmp->loadJWT($_COOKIE[self::COOKIE_NAME]);
  357.                                                 self::jwtSecurityCheck($tmp, self::JWT_GENERATOR_LOGIN | self::JWT_GENERATOR_MANUAL);
  358.                                         }
  359.  
  360.                                         // AJAX may additionally use GET/POST automated AJAX (in addition to the normal JWT "remember me" Cookie)
  361.                                         if (isset($_SERVER['SCRIPT_FILENAME']) && (strtolower(basename($_SERVER['SCRIPT_FILENAME'])) !== 'ajax.php')) {
  362.                                                 if (isset($_POST[self::COOKIE_NAME])) {
  363.                                                         $silent_error = false;
  364.                                                         $tmp = new OIDplusAuthContentStoreJWT();
  365.                                                         $tmp->loadJWT($_POST[self::COOKIE_NAME]);
  366.                                                         self::jwtSecurityCheck($tmp, self::JWT_GENERATOR_AJAX | self::JWT_GENERATOR_MANUAL);
  367.                                                 }
  368.                                                 if (isset($_GET[self::COOKIE_NAME])) {
  369.                                                         $silent_error = false;
  370.                                                         $tmp = new OIDplusAuthContentStoreJWT();
  371.                                                         $tmp->loadJWT($_GET[self::COOKIE_NAME]);
  372.                                                         self::jwtSecurityCheck($tmp, self::JWT_GENERATOR_AJAX | self::JWT_GENERATOR_MANUAL);
  373.                                                 }
  374.                                         }
  375.  
  376.                                 }
  377.  
  378.                         } catch (\Exception $e) {
  379.                                 if (!$silent_error) {
  380.                                         // Most likely an AJAX request. We can throw an Exception
  381.                                         throw new OIDplusException(_L('The JWT token was rejected: %1',$e->getMessage()));
  382.                                 } else {
  383.                                         // Most likely an expired Cookie/Login session. We must not throw an Exception, otherwise we will break jsTree
  384.                                         OIDplus::cookieUtils()->unsetcookie(self::COOKIE_NAME);
  385.                                         return null;
  386.                                 }
  387.                         }
  388.  
  389.                         self::$contentProvider = $tmp;
  390.                 }
  391.  
  392.                 return self::$contentProvider;
  393.         }
  394.  
  395.         /**
  396.          * @param string $email
  397.          * @param string $loginfo
  398.          * @return void
  399.          * @throws OIDplusException
  400.          */
  401.         public function raLoginEx(string $email, string &$loginfo) {
  402.                 if (is_null(self::getActiveProvider())) {
  403.                         $this->raLogin($email);
  404.                         $loginfo = 'into new JWT session';
  405.                         self::$contentProvider = $this;
  406.                 } else {
  407.                         $gen = $this->getValue('oidplus_generator',-1);
  408.                         switch ($gen) {
  409.                                 case OIDplusAuthContentStoreJWT::JWT_GENERATOR_AJAX :
  410.                                 case OIDplusAuthContentStoreJWT::JWT_GENERATOR_REST :
  411.                                 case OIDplusAuthContentStoreJWT::JWT_GENERATOR_MANUAL :
  412.                                         throw new OIDplusException(_L('This kind of JWT token cannot be altered. Therefore you cannot do this action.'));
  413.                                 case OIDplusAuthContentStoreJWT::JWT_GENERATOR_LOGIN :
  414.                                         if (!OIDplus::baseConfig()->getValue('JWT_ALLOW_LOGIN_USER', true)) {
  415.                                                 throw new OIDplusException(_L('You cannot add this login credential to your existing "remember me" session. You need to log-out first.'));
  416.                                         }
  417.                                         break;
  418.                                 default:
  419.                                         assert(false); // This cannot happen because jwtSecurityCheck will check for unknown generators
  420.                                         break;
  421.                         }
  422.                         $this->raLogin($email);
  423.                         $loginfo = 'into existing JWT session';
  424.                 }
  425.         }
  426.  
  427.         /**
  428.          * @param string $loginfo
  429.          * @return void
  430.          * @throws OIDplusException
  431.          */
  432.         public function adminLoginEx(string &$loginfo) {
  433.                 if (is_null(self::getActiveProvider())) {
  434.                         $this->adminLogin();
  435.                         $loginfo = 'into new JWT session';
  436.                         self::$contentProvider = $this;
  437.                 } else {
  438.                         $gen = $this->getValue('oidplus_generator',-1);
  439.                         switch ($gen) {
  440.                                 case OIDplusAuthContentStoreJWT::JWT_GENERATOR_AJAX :
  441.                                 case OIDplusAuthContentStoreJWT::JWT_GENERATOR_REST :
  442.                                 case OIDplusAuthContentStoreJWT::JWT_GENERATOR_MANUAL :
  443.                                         throw new OIDplusException(_L('This kind of JWT token cannot be altered. Therefore you cannot do this action.'));
  444.                                 case OIDplusAuthContentStoreJWT::JWT_GENERATOR_LOGIN :
  445.                                         if (!OIDplus::baseConfig()->getValue('JWT_ALLOW_LOGIN_ADMIN', true)) {
  446.                                                 throw new OIDplusException(_L('You cannot add this login credential to your existing "remember me" session. You need to log-out first.'));
  447.                                         }
  448.                                         break;
  449.                                 default:
  450.                                         assert(false); // This cannot happen because jwtSecurityCheck will check for unknown generators
  451.                                         break;
  452.                         }
  453.                         $this->adminLogin();
  454.                         $loginfo = 'into existing JWT session';
  455.                 }
  456.         }
  457.  
  458.         // Individual functions
  459.  
  460.         /**
  461.          * Decode the JWT. In this step, the signature as well as EXP/NBF times will be checked
  462.          * @param string $jwt
  463.          * @return void
  464.          * @throws OIDplusException
  465.          */
  466.         public function loadJWT(string $jwt) {
  467.                 \Firebase\JWT\JWT::$leeway = 60; // leeway in seconds
  468.                 if (OIDplus::getPkiStatus()) {
  469.                         $pubKey = OIDplus::getSystemPublicKey();
  470.                         $k = new \Firebase\JWT\Key($pubKey, 'RS256'); // RSA+SHA256 is hardcoded in getPkiStatus() generation
  471.                         $this->content = (array) \Firebase\JWT\JWT::decode($jwt, $k);
  472.                 } else {
  473.                         $key = OIDplus::authUtils()->makeSecret(['0be35e52-f4ef-11ed-b67e-3c4a92df8582']);
  474.                         $key = hash_pbkdf2('sha512', $key, '', 10000, 32/*256bit*/, false);
  475.                         $k = new \Firebase\JWT\Key($key, 'HS512'); // HMAC+SHA512 is hardcoded here
  476.                         $this->content = (array) \Firebase\JWT\JWT::decode($jwt, $k);
  477.                 }
  478.         }
  479.  
  480.         /**
  481.          * @return string
  482.          * @throws OIDplusException
  483.          */
  484.         public function getJWTToken(): string {
  485.                 $payload = $this->content;
  486.                 $payload["oidplus_ssh"] = self::getSsh(); // SSH = Server Secret Hash
  487.                 $payload["iss"] = OIDplus::getEditionInfo()['jwtaud'];
  488.                 $payload["aud"] = OIDplus::getEditionInfo()['jwtaud'];
  489.                 $payload["jti"] = gen_uuid();
  490.                 $payload["iat"] = time();
  491.  
  492.                 if (OIDplus::getPkiStatus()) {
  493.                         $privKey = OIDplus::getSystemPrivateKey();
  494.                         return \Firebase\JWT\JWT::encode($payload, $privKey, 'RS256'); // RSA+SHA256 is hardcoded in getPkiStatus() generation
  495.                 } else {
  496.                         $key = OIDplus::authUtils()->makeSecret(['0be35e52-f4ef-11ed-b67e-3c4a92df8582']);
  497.                         $key = hash_pbkdf2('sha512', $key, '', 10000, 32/*256bit*/, false);
  498.                         return \Firebase\JWT\JWT::encode($payload, $key, 'HS512'); // HMAC+SHA512 is hardcoded here
  499.                 }
  500.         }
  501.  
  502. }
  503.