PHP JWT初识及其简单示例
一直没有好好看过jwt,直到前两天要做web验证,朋友给我推荐了jwt。才发现jwt已经被大家广泛的应用了。看来我有点out了。哈哈,趁着这个世界来好好看看这个。
JWT(JSON Web Token), 顾名思义就是可以在Web上传输的token,这种token是用JSON格式进行format的。它是一个开源标准(RFC 7519),定义了一个紧凑的自包含的方式在不同实体之间安全的用JSON格式传输信息。
由于现在很多项目都是前后端分离,restful api模式。所以传统的session模式就没有办法满足认证需求,这个时候jwt的作用就来了。可以说 restful api认证是jwt的一个很好的应用场景。
参数解释
名称 |
解释 |
---|---|
iss (issuer) |
issuer 请求实体,可以是发起请求的用户的信息,也可是jwt的签发者 |
sub (Subject) |
设置主题,类似于发邮件时的主题 |
aud (audience) |
接收jwt的一方 |
exp (expire) |
token过期时间 |
nbf (not before) |
当前时间在nbf设定时间之前,该token无法使用 |
iat (issued at) |
token创建时间 |
jti (JWT ID) |
对当前token设置唯一标示 |
下面是一个很小的demo
<?php
require_once 'src/JWT.php';
header('Content-type:application/json');
//定义Key
const KEY = 'dasjdkashdwqe1213dsfsn;p';
$user = [
'uid'= 'dadsa-12312-vsd1s1-fsds',
'account'= 'daisc',
'password'= '123456'
];
$redis = redis();
$action = $_GET['action'];
switch ($action)
{
case 'login':
login();
break;
case 'info':
info();
break;
}
//登陆,写入验证token
function login()
{
global $user;
$account = $_GET['account'];
$pwd = $_GET['password'];
$res = [];
if($account==$user['account']&&$pwd==$user['password'])
{
unset($user['password']);
$time = time();
$token = [
'iss'= 'http://test.cc',//签发者
'iat'= $time,
'exp'= $time+60,
'data'= $user
];
$jwt = FirebaseJWTJWT::encode($token,KEY);
$res['code'] = 200;
$res['message'] = '登录成功';
$res['jwt'] = $jwt;
}
else
{
$res['message']= '用户名或密码错误';
$res['code'] = 401;
}
exit(json_encode($res));
}
function info()
{
$jwt = $_SERVER['HTTP_AUTHORIZATION'] ?? false;
$res['code'] = 200;
if($jwt)
{
$jwt = str_replace('Bearer ','',$jwt);
if(empty($jwt))
{
$res['code'] = 401;
$res['msg'] = 'You do not have permission to access.';
exit(json_encode($res));
}
try{
$token = (array) FirebaseJWTJWT::decode($jwt,KEY, ['HS256']);
if($token['exp']<time())
{
$res['code'] = 401;
$res['msg'] = '登录超时,请重新登录';
}
$res['data']= $token['data'];
}catch (Exception $E)
{
$res['code'] = 401;
$res['msg'] = '登录超时,请重新登录.';
}
}
else
{
$res['code'] = 401;
$res['msg'] = 'You do not have permission to access.';
}
exit(json_encode($res));
}
//连接redis
function redis()
{
$redis = new Redis();
$redis- connect('127.0.0.1');
return $redis;
}
这个dmeo里面用jwt做了一个简单的认证。 其中用到了一个php-jwt的加密包https://github.com/firebase/php-jwt
其中KEY为定义的私钥也就是jwt里面的 sign部分,这个一定要保存好。 而header部分php-jwt包里面已经帮我们完成了,加密代码如下
public static function encode($payload, $key, $alg = 'HS256', $keyId = null, $head = null)
{
$header = array('typ' = 'JWT', 'alg' = $alg);
if ($keyId !== null) {
$header['kid'] = $keyId;
}
if ( isset($head) && is_array($head) ) {
$header = array_merge($head, $header);
}
$segments = array();
$segments[] = static::urlsafeB64Encode(static::jsonEncode($header));
$segments[] = static::urlsafeB64Encode(static::jsonEncode($payload));
$signing_input = implode('.', $segments);
$signature = static::sign($signing_input, $key, $alg);
$segments[] = static::urlsafeB64Encode($signature);
return implode('.', $segments);
}
可以看出默认的加密的方式是HS256。这也是说jwt安全的原因。现阶段HS256加密还是很安全的。 这个包里面也支持证书加密。
加密解密的过程这个包已经帮我们完成了。所以我们只需要定义jwt中的 poyload部分就可以了。也就是demo里面的token部分。加密成功会得到一个加密的Jwt字符串,下次前端在请求api的时候需要携带这个jwt字符串作为认证。 在header头里面增加Authorization。在服务端验证的时候回通过取得这个值来验证回话的有效。
下面是poyload的一些常用配置
$token = [
#非必须。issuer 请求实体,可以是发起请求的用户的信息,也可是jwt的签发者。
"iss" = "http://example.org",
#非必须。issued at。 token创建时间,unix时间戳格式
"iat" = $_SERVER['REQUEST_TIME'],
#非必须。expire 指定token的生命周期。unix时间戳格式
"exp" = $_SERVER['REQUEST_TIME'] + 7200,
#非必须。接收该JWT的一方。
"aud" = "http://example.com",
#非必须。该JWT所面向的用户
"sub" = "jrocket@example.com",
# 非必须。not before。如果当前时间在nbf里的时间之前,则Token不被接受;一般都会留一些余地,比如几分钟。
"nbf" = 1357000000,
# 非必须。JWT ID。针对当前token的唯一标识
"jti" = '222we',
# 自定义字段
"GivenName" = "Jonny",
# 自定义字段
"name" = "Rocket",
# 自定义字段
"Email" = "jrocket@example.com",
];
里面包含的配置可以自由配置,也可以自己添加一些其他的。这些都是网上大家常用的,可以说是一种约定吧。
注意事项
关于jwt的使用大概就是这些。上面的代码在你使用的时候可能会出现两个问题:
1、命名空间错误 解决:不使用命名空间的话,使用require引入文件。如果使用命名空间出现错误,请检查命名空间的路径。
2、生成的token是一个对象 解决:(string)$token 将token强转成string
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持网站事(zalou.cn)。
- ASP.NET的路由系统:路由映射
- ASP.NET Core的配置(3): 将配置绑定为对象[上篇]
- ASP.NET的路由系统:URL与物理文件的分离
- 使用Excel分析CloudStack使用记录
- 卷积神经网络初探索
- TensorFlow 深度学习笔记 逻辑回归 实践篇
- 黑客是如何实施暴力破解的?
- Python的初学者你现在可以自己“看”到代码的运行了!
- ASP.NET Core的配置(3): 将配置绑定为对象[下篇]
- TensorFlow 深度学习笔记 从线性分类器到深度神经网络
- 微信版12306来了!用12306微信小程序买票靠谱吗
- 无需写try/catch,也能正常处理异常
- “人工智能毁灭人类”是一种末世恐惧传染病
- 有状态(Stateful)应用的容器化
- php概述
- php教程
- php环境搭建
- PHP书写格式
- php变量
- php常量
- PHP注释
- php数组
- php字符串 string
- PHP整型 integer
- PHP浮点型 float
- php布尔型
- php数据类型之数组
- php数据类型之对象
- php数据类型之null
- php数据类型之间的转换
- php运算符
- php表达式
- PHP循环控制
- PHP流程控制
- php函数
- php全局变量
- PHP魔术变量
- php命名空间
- php 日期
- PHP包含文件
- php文件
- PHP 文件上传
- php Cookies
- php Sessions
- php email
- php安全email
- php错误处理
- PHP异常处理
- php过滤器
- PHP 高级过滤器
- php json
- php 表单
- PHP MySQL 简介
- PHP 连接 MySQL
- php创建数据库
- php 创建表
- php mysq 插入数据
- PHP MySQL 插入多条数据
- PHP MySQL 预处理语句
- php mysql 读取数据
- php mysql where
- PHP MySQL Order By
- PHP MySQL Update
- PHP MySQL Delete
- php ODBC
- 使用Python判断文件下是否有空文件夹
- MySQL 设置用户可以远程连接
- MySQL关于character_set 设置为uft8问题
- nohup 退出终端不退出任务
- windows 下Redis开机自启动
- 机器学习基础:决策树的可视化
- 持续部署入门:基于 Kubernetes 实现蓝绿发布
- PHP 实现Redis发布订阅消息及时通讯
- 简单几步,用云开发搞定短信验证码登录
- 重要的进程就让Supervisor 来守护吧!
- 机器学习基础:令你事半功倍的pipeline处理机制
- django 中如何将字典变量传给template视图层的JS
- Spring第三天:Spring的AOP的注解开发、Spring的声明式事务、JdbcTemplate
- Spring Boot中集成Slf4j 与Logback
- 一文搞定 Linux 常用高频命令