在JWT（JSON Web Token）的生态系统中，签名算法的选择直接影响着安全性和兼容性。近期Lcobucci/JWT项目中关于PS256（RSASSA-PSS with SHA-256）算法支持的讨论，揭示了现代PHP生态中密码学实现的一些有趣挑战。

PS256算法的技术背景

PS256是基于RSA的概率签名方案（Probabilistic Signature Scheme），相比传统的RS256（RSASSA-PKCS1-v1_5）具有更强的安全性证明。其核心特点在于：

每次签名会生成不同的结果（即使相同输入）

采用更现代的PSS填充方案

被RFC 7518列为JWT可选算法

PHP实现的现状

当前PHP的OpenSSL扩展（截至PHP 8.x）尚未原生支持PS系列算法，这源于底层openssl_sign()函数缺乏对PSS填充的参数支持。虽然OpenSSL库本身具备能力，但PHP扩展层存在功能缺口。

技术实现方案

项目维护者提出了三种实现路径：

纯PHP实现：通过用户空间代码完成PSS填充计算，但面临性能问题：

需要处理大整数运算

无扩展(GMP/BCMath)时性能极低

依赖现有数学库：

使用brick/math处理大整数运算

或集成phpseclib的完整实现

带来额外依赖但保证可靠性

推动PHP核心支持：

建议向php-src提交功能请求

但响应周期不确定

实际解决方案

项目团队最终选择发布独立扩展包lcobucci/jwt-rsassa-pss，特点包括：

完整实现PS256/PS384/PS512支持

基于phpseclib的可靠后端

明确建议优先考虑椭圆曲线算法

安全建议

虽然实现了PS256支持，但安全专家建议：

RSA算法面临量子计算威胁（Shor算法）

密钥长度需求持续增长影响性能

现代协议更推荐ECDSA等椭圆曲线方案

仅在必须验证PS签名时使用该方案

这个案例典型地展现了密码学演进与现有系统兼容之间的平衡艺术，也为PHP生态中的安全实现提供了有价值的参考。