PHP JWT初识

lavor 发布于2019-07-01 10:48 / 1498人阅读

摘要：加密解密的过程这个包已经帮我们完成了。指定的生命周期。该所面向的用户非必须。。针对当前的唯一标识自定义字段自定义字段自定义字段里面包含的配置可以自由配置，也可以自己添加一些其他的。

一直没有好好看过jwt，直到前两天要做web验证，朋友给我推荐了jwt。才发现jwt已经被大家广泛的应用了。看来我有点out了。哈哈，趁着这个世界来好好看看这个。

JWT(JSON Web Token), 顾名思义就是可以在Web上传输的token，这种token是用JSON格式进行format的。它是一个开源标准(RFC 7519)，定义了一个紧凑的自包含的方式在不同实体之间安全的用JSON格式传输信息。

由于现在很多项目都是前后端分离，restful api模式。所以传统的session模式就没有办法满足认证需求，这个时候jwt的作用就来了。可以说 restful api认证是jwt的一个很好的应用场景。

下面是一个很小的demo

"dadsa-12312-vsd1s1-fsds",
    "account"=>"daisc",
    "password"=>"123456"
];
$redis = redis();
$action  =  $_GET["action"];
switch ($action)
{
    case "login":
        login();
        break;
    case "info":
        info();
        break;

}
//登陆，写入验证token
function login()
{
    global  $user;
    $account = $_GET["account"];
    $pwd = $_GET["password"];
    $res = [];
    if($account==$user["account"]&&$pwd==$user["password"])
    {
        unset($user["password"]);
        $time = time();
        $token = [
            "iss"=>"http://test.cc",//签发者
            "iat"=>$time,
            "exp"=>$time+60,
            "data"=>$user
        ];
        $jwt = FirebaseJWTJWT::encode($token,KEY);
        $res["code"] = 200;
        $res["message"] = "登录成功";
        $res["jwt"] = $jwt;

    }
    else
    {
        $res["message"]= "用户名或密码错误";
        $res["code"] = 401;
    }
    exit(json_encode($res));
}





function info()
{
   $jwt = $_SERVER["HTTP_AUTHORIZATION"] ?? false;
   $res["code"] = 200;
   if($jwt)
   {
        $jwt = str_replace("Bearer ","",$jwt);
        if(empty($jwt))
        {
            $res["code"] = 401;
            $res["msg"] = "You do not have permission to access.";
            exit(json_encode($res));
        }
        try{
            $token = (array) FirebaseJWTJWT::decode($jwt,KEY, ["HS256"]);
            if($token["exp"]connect("127.0.0.1");
    return $redis;
}

这个dmeo里面用jwt做了一个简单的认证。其中用到了一个php-jwt的加密包https://github.com/firebase/php-jwt

其中KEY为定义的私钥也就是jwt里面的 sign部分，这个一定要保存好。
而header部分php-jwt包里面已经帮我们完成了，加密代码如下

    */
    public static function encode($payload, $key, $alg = "HS256", $keyId = null, $head = null)
    {
        $header = array("typ" => "JWT", "alg" => $alg);
        if ($keyId !== null) {
            $header["kid"] = $keyId;
        }
        if ( isset($head) && is_array($head) ) {
            $header = array_merge($head, $header);
        }
        $segments = array();
        $segments[] = static::urlsafeB64Encode(static::jsonEncode($header));
        $segments[] = static::urlsafeB64Encode(static::jsonEncode($payload));
        $signing_input = implode(".", $segments);

        $signature = static::sign($signing_input, $key, $alg);
        $segments[] = static::urlsafeB64Encode($signature);

        return implode(".", $segments);
    }

可以看出默认的加密的方式是HS256。这也是说jwt安全的原因。现阶段HS256加密还是很安全的。
这个包里面也支持证书加密。

加密解密的过程这个包已经帮我们完成了。所以我们只需要定义jwt中的 poyload部分就可以了。也就是demo里面的token部分。加密成功会得到一个加密的Jwt字符串，下次前端在请求api的时候需要携带这个jwt字符串作为认证。
在header头里面增加Authorization。在服务端验证的时候回通过取得这个值来验证回话的有效。

下面是poyload的一些常用配置

 $token   = [
            #非必须。issuer 请求实体，可以是发起请求的用户的信息，也可是jwt的签发者。
            "iss"       => "http://example.org",
            #非必须。issued at。 token创建时间，unix时间戳格式
            "iat"       => $_SERVER["REQUEST_TIME"],
            #非必须。expire 指定token的生命周期。unix时间戳格式
            "exp"       => $_SERVER["REQUEST_TIME"] + 7200,
            #非必须。接收该JWT的一方。
            "aud"       => "http://example.com",
            #非必须。该JWT所面向的用户
            "sub"       => "jrocket@example.com",
            # 非必须。not before。如果当前时间在nbf里的时间之前，则Token不被接受；一般都会留一些余地，比如几分钟。
            "nbf"       => 1357000000,
            # 非必须。JWT ID。针对当前token的唯一标识
            "jti"       => "222we",
            # 自定义字段
            "GivenName" => "Jonny",
            # 自定义字段
            "name"   => "Rocket",
            # 自定义字段
            "Email"     => "jrocket@example.com",
         
        ];

里面包含的配置可以自由配置，也可以自己添加一些其他的。这些都是网上大家常用的，可以说是一种约定吧。

对于jwt还有很多有疑问的地方，下来在慢慢研究，比如续期以及退出的问题

查看原文

GPU云服务器云服务器 php jwt docker初识 JWT 初识关系数据库

文章版权归作者所有，未经允许请勿转载,若此文章存在违规行为，您可以联系管理员删除。

转载请注明本文地址：https://www.ucloud.cn/yun/29492.html

Spring Security

摘要：框架具有轻便，开源的优点，所以本译见构建用户管理微服务五使用令牌和来实现身份验证往期译见系列文章在账号分享中持续连载，敬请查看在往期译见系列的文章中，我们已经建立了业务逻辑数据访问层和前端控制器但是忽略了对身份进行验证。重拾后端之Spring Boot（四）：使用JWT和Spring Security保护REST API 重拾后端之Spring Boot（一）：REST API的搭建...

keelii 2019-06-21 16:40 评论0 收藏0
php 后端实现JWT认证方法

摘要：基于的身份验证可以替代传统的身份验证方法。例如可自定义示例如下该的签发者签发时间过期时间该时间之前不接收处理该面向的用户该唯一标识部分对应的签名为最终得到的的为说明对和进行编码后进行拼接。 JWT是什么 JWT是json web token缩写。它将用户信息加密到token里，服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性，只要正确即通过验证。基于token的...

hiyang 2019-07-01 10:37 评论0 收藏0
使用JWT(Json Web Token)实现登录认证

摘要：今天我们来结合实例给大家讲述的实战应用，就是如何使用前端与后端实现用户登录鉴权认证的过程。只用了一个串，建立前后端的验证的数据传递，实现了有效的登录鉴权过程。今天我们来结合实例给大家讲述JWT(Json Web Token)的实战应用，就是如何使用前端Axios与后端PHP实现用户登录鉴权认证的过程。文中涉及的重要知识点： axios异步请求：axios-基于Promise的HTT...

Yu_Huang 2019-06-28 18:34 评论0 收藏0
Laravel 5.5 使用 Jwt-Auth 实现 API 用户认证以及无痛刷新访问令牌

摘要：默认的时间为周。大概意思就是如果用户有一个，那么他可以带着他的过来领取新的，直到周的时间后，他便无法继续刷新了，需要重新登录。指定在刷新令牌时要保留的声明密钥。为了使令牌无效，您必须启用黑名单。指定用于对用户进行身份验证的提供程序。 showImg(https://segmentfault.com/img/remote/1460000012606251?w=1920&h=1280); ...

xavier 2019-06-28 14:35 评论0 收藏0
laravel使用JWT做API认证

摘要：最近项目做认证，最终技术选型决定使用，项目框架使用的是，使用有比较方便使用的开源包。使用安装，使用的框架版本为，最新稳定版本为。最近项目做API认证，最终技术选型决定使用JWT，项目框架使用的是laravel，laravel使用JWT有比较方便使用的开源包：jwt-auth。使用composer安装jwt-auth，laravel使用的框架版本为5.0，jwt-auth最新稳定版本...

SexySix 2019-07-01 12:30 评论0 收藏0