如何使用JWT作Api接口身份认证?
1.JWT是什么?
JWT官网 https://jwt.io
官网简介:JSON Web令牌(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间做为JSON对象安全地传输信息。因为此信息是通过数字签名的,所以能够被验证和信任。可使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对对JWT进行签名。
一般来讲,JWT是一个由包含用户信息所生成的加密串,将生成的JWT加密串放入全部的请求head中,前端经过设定的秘钥加密参数,发送数据给后端,后端接收参数,按照设定的秘钥,一样加密接收参数,与前端加密参数作比对,保证请求有效并防止参数不被篡改。验证经过就进行相关的逻辑处理,不然请求算做无效请求。php
2.为何使用JWT?
传统互联网项目在实现保持登陆状态、退出登陆、接口请求等功能时会使用Session,可是众所周知Session数据在产生后会存储与服务器端,因此当用户量达到必定程度会相应影响到服务器的性能,且Session在先后端分离的项目中或是多服务器项目中的支持不是很好。可是Token不会产生这些问题,服务器端对Token只有生成和验证操做,不会存放数据,针对先后端分离的项目,包括手机APP和当前热门的小程序的支持都很不错,因此Token成为了用于验证的极好选择。前端
3.在项目中引入JWT扩展
composer require firebase/php-jwt
4.JWT具体使用步骤
在登陆控制器中算法
$key = 'e10adc3949ba59abbe56e057f20f883e';//自定义秘钥,加密解密都须要用到
$time = time(); //当前时间
$token = [
'iat' => $time, //签发时间
'nbf' => $time, //(Not Before):某个时间点后才能访问,好比设置time+30,表示当前时间30秒后才能使用
'data' => [
'userid' => 1,
'username' => 'zqw.xyz',
]];
$jwtToken = \Firebase\JWT\JWT::encode($token, $key);
3.登陆成功后,将生成 token 返回给前端。前端记录该用户信息的 token ,将 token 放入 head,以后的请求中都须要 head 都需包含 token。
4.咱们能够定义一个 AppID 和 AppSecret,同时告知前端。前端每次请求中携带 AppID ,请求参数加入一个必要参数 sign ,sign 是由全部请求参数拼接而成加密后的加密串。
注意: sign 参数值,须要加入 AppID 所须要对应 AppSecret,请求参数和后端约定相同排序规则,而后进行加密。json
5.后端验证签名是否经过小程序
$token = $request->instance()->header('token');
if(empty($token)){
abort(0, 'token验证失败');
}
$appid = $request->param('appid');
if(empty($appid)){
abort(0, 'appid验证失败');
}
$request_time = $request->param('request_time');
if(empty($request_time)){
abort(0,'时间戳验证失败');
}
$random_number = $request->param('random_number');
if(empty($random_number)){
abort(0,'数字验证失败');
}
//记录每次请求的uuid,若是uuid已存在,则该次请求无效。
$request_uuid = Db::name('request')->where('uuid',$random_number)->find();
if(count($request_uuid) > 1){
abort(0,'请求无效');
}else{
Db::name('request')->insert([
'uuid' => $random_number,
'add_time' => time(),
'url' => $request->baseUrl(),
]);
}
$secret_type = [
'appid1' => 'bd98e16b5eaf3e49fa2ecd3f9ee8f6ae',
'appid2' => 'b7e23061042f2799180e41d94cdbf861',
];
$secret = $secret_type[$appid];
if(empty($random_number)){
abort(0,'secret验证失败');
}
$sign = $request->param('sign');
if(empty($sign)){
abort(0,'sign验证失败');
}
$all_obj['secret'] = $secret;
ksort($all_obj);
$sign_key = '';
foreach ($all_obj as $k => $v) {
$sign_key .= $k.='='.$v.'&';
}
$sign_key = substr_replace($sign_key ,"", -1);
$md_sign = md5($sign_key);
if($sign !== $md_sign){
abort(0,'签名验证失败');
}
注意: 为防止重复请求,建议由前端每次传入 uuid ,根据 uuid 请求是否重复。
6.验证经过后,进行相关的业务逻辑代码处理。后端
//
$result = array(
'status' => 1,
'msg' => '获取成功',
'result' => array(
)
);
return json($result)
- 1. 身份证明名认证API接口
- 2. RESTful API使用JWT作无状态的身份认证
- 3. 身份证实名认证接口,实名认证API接口文档
- 4. 【译】使用Jwt身份认证保护 Asp Net Core Web Api
- 5. laravel使用JWT作API认证
- 6. 使用JWT作RESTful API的身份验证-Go语言实现
- 7. 使用阿里云接口进行身份证明名认证
- 8. HTTPS接口加密和身份认证
- 9. jwt身份验证
- 10. ASP.NET Core系列:JWT身份认证
- 更多相关文章...
- • XSD 如何使用? - XML Schema 教程
- • 如何伪造ARP响应? - TCP/IP教程
- • Composer 安装与使用
- • 使用Rxjava计算圆周率
-
每一个你不满意的现在,都有一个你没有努力的曾经。