摘要:基于的身份验证可以替代传统的身份验证方法。该所面向的用户非必须。。你也可以简单的使用,比如简单的方式。经过和就可得到组成部分将和使用中指定的加密算法加密,当然加密过程还需要自定秘钥,自己选一个字符串就可以了。
解释一下JWT
JWT就是一个字符串,经过加密处理与校验处理的字符串,由三个部分组成。基于token的身份验证可以替代传统的cookie+session身份验证方法。三个部分分别如下:
header.payload.signatureheader部分组成
header 格式为:
{ "typ":"JWT", "alg":"HS256" }
这就是一个json串,两个字段都是必须的,alg字段指定了生成signature的算法,默认值为 HS256,可以自己指定其他的加密算法,如RSA.经过base64encode就可以得到 header.
payload 部分组成playload 基本组成部分:
简单点:
$payload=[ "iss" => $issuer, //签发者 "iat" => $_SERVER["REQUEST_TIME"], //什么时候签发的 "exp" => $_SERVER["REQUEST_TIME"] + 7200 //过期时间 "uid"=>1111 ];
复杂点:官方说法,三个部分组成(Reserved claims,Public claims,Private claims)
$token = [ #非必须。issuer 请求实体,可以是发起请求的用户的信息,也可是jwt的签发者。 "iss" => "http://example.org", #非必须。issued at。 token创建时间,unix时间戳格式 "iat" => $_SERVER["REQUEST_TIME"], #非必须。expire 指定token的生命周期。unix时间戳格式 "exp" => $_SERVER["REQUEST_TIME"] + 7200, #非必须。接收该JWT的一方。 "aud" => "http://example.com", #非必须。该JWT所面向的用户 "sub" => "jrocket@example.com", # 非必须。not before。如果当前时间在nbf里的时间之前,则Token不被接受;一般都会留一些余地,比如几分钟。 "nbf" => 1357000000, # 非必须。JWT ID。针对当前token的唯一标识 "jti" => "222we", # 自定义字段 "GivenName" => "Jonny", # 自定义字段 "name" => "Rocket", # 自定义字段 "Email" => "jrocket@example.com", ];
payload 也是一个json数据,是表明用户身份的数据,可以自己自定义字段,很灵活。你也可以简单的使用,比如简单的方式。经过json_encode和base64_encode就可得到payload
signature组成部分将 header和 payload使用header中指定的加密算法加密,当然加密过程还需要自定秘钥,自己选一个字符串就可以了。
官网实例:
HMACSHA256( base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)
自己使用:
"JWT", "alg" => $alg])) . "." . self::urlsafeB64Encode(json_encode($payload)); return $jwt . "." . self::signature($jwt, $key, $alg); } public static function signature(string $input, string $key, string $alg) { return hash_hmac($alg, $input, $key); }
这三个部分使用.连接起来就是高大上的JWT,然后就可以使用了.
JWT使用流程 官方使用流程说明:
翻译一下:
初次登录:用户初次登录,输入用户名密码
密码验证:服务器从数据库取出用户名和密码进行验证
生成JWT:服务器端验证通过,根据从数据库返回的信息,以及预设规则,生成JWT
返还JWT:服务器的HTTP RESPONSE中将JWT返还
带JWT的请求:以后客户端发起请求,HTTP REQUEST HEADER中的Authorizatio字段都要有值,为JWT
JWT 验证过程因为自己写的,没有使用框架,所以还是得简单记录一下验证过程
客户端在请求头中带有JWT信息,后端获取$_SERVER[HTTP_AUTHORIZATION]:
不过注意一点,我这个Authorization没有加Bearer,官方使用中就使用了Bearer,你也可以自己使用:
Authorization: Bearer
php 验证伪代码:
$time) return false; if (isset($payload["exp"]) && $payload["exp"] < $time) return false; return $payload; } public static function urlsafeB64Decode(string $input) { $remainder = strlen($input) % 4; if ($remainder) { $padlen = 4 - $remainder; $input .= str_repeat("=", $padlen); } return base64_decode(strtr($input, "-_", "+/")); } public static function urlsafeB64Encode(string $input) { return str_replace("=", "", strtr(base64_encode($input), "+/", "-_")); }
参考文章:
https://jwt.io/introduction/
http://www.cnblogs.com/zjutzz...
文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/23152.html
摘要:今天我们来结合实例给大家讲述的实战应用,就是如何使用前端与后端实现用户登录鉴权认证的过程。只用了一个串,建立前后端的验证的数据传递,实现了有效的登录鉴权过程。 今天我们来结合实例给大家讲述JWT(Json Web Token)的实战应用,就是如何使用前端Axios与后端PHP实现用户登录鉴权认证的过程。 文中涉及的重要知识点: axios异步请求:axios-基于Promise的HTT...
摘要:是为了在网络应用环境间传递声明而执行的一种基于的开放标准该被设计为紧凑且安全的,特别适用于分布式站点的单点登录场景。这也意味着限制了应用的扩展能力。 Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身...
摘要:当使用一个时,其中一个挑战就是认证。在传统的应用中,服务端成功的返回一个响应依赖于两件事。通常包括将发送的凭证与存储的凭证进行检查。第一种是使用请求来通过验证,使服务端发送带有的响应。 做了这么长时间的web开发,从JAVA EE中的jsf,spring,hibernate框架,到spring web MVC,到用php框架thinkPHP,到现在的nodejs,我自己的看法是越来越喜...
摘要:的安全性不好,攻击者可以通过获取本地进行欺骗或者利用进行攻击。 好久没写博客了,因为最近公司要求我学spring cloud ,早点将以前软件迁移到新的架构上。所以我那个拼命的学呐,总是图快,很多关键的笔记没有做好记录,现在又遗忘了很多关键的技术点,极其罪恶! 现在想一想,还是踏踏实实的走比较好。这不,今天我冒了个泡,来补一补前面我所学所忘的知识点。 想要解锁更多新姿势?请访问我的博客...
阅读 2946·2023-04-25 22:16
阅读 2092·2021-10-11 11:11
阅读 3247·2019-08-29 13:26
阅读 592·2019-08-29 12:32
阅读 3408·2019-08-26 11:49
阅读 2987·2019-08-26 10:30
阅读 1938·2019-08-23 17:59
阅读 1506·2019-08-23 17:57