php JWT在web端的使用方法
解释一下JWT
JWT就是一个字符串,通过加密处理与校验处理的字符串,由三个部分组成。基于token的身份验证能够替代传统的cookie+session身份验证方法。三个部分分别以下:
header.payload.signature
header部分组成
header 格式为:php
{
"typ":"JWT",
"alg":"HS256"
}
这就是一个json串,两个字段都是必须的,alg字段指定了生成signature的算法,默认值为 HS256,能够本身指定其余的加密算法,如RSA.通过base64encode就能够获得 header.html
payload 部分组成
playload 基本组成部分:算法
简单点:
$payload=[
'iss' => $issuer, //签发者
'iat' => $_SERVER['REQUEST_TIME'], //何时签发的
'exp' => $_SERVER['REQUEST_TIME'] + 7200 //过时时间
'uid'=>1111
];
复杂点:官方说法,三个部分组成(Reserved claims,Public claims,Private claims)
$token = [
#非必须。issuer 请求实体,能够是发起请求的用户的信息,也但是jwt的签发者。
"iss" => "http://example.org",
#非必须。issued at。 token建立时间,unix时间戳格式
"iat" => $_SERVER['REQUEST_TIME'],
#非必须。expire 指定token的生命周期。unix时间戳格式
"exp" => $_SERVER['REQUEST_TIME'] + 7200,
#非必须。接收该JWT的一方。
"aud" => "http://example.com",
#非必须。该JWT所面向的用户
"sub" => "jrocket@example.com",
# 非必须。not before。若是当前时间在nbf里的时间以前,则Token不被接受;通常都会留一些余地,好比几分钟。
"nbf" => 1357000000,
# 非必须。JWT ID。针对当前token的惟一标识
"jti" => '222we',
# 自定义字段
"GivenName" => "Jonny",
# 自定义字段
"name" => "Rocket",
# 自定义字段
"Email" => "jrocket@example.com",
];
payload 也是一个json数据,是代表用户身份的数据,能够本身自定义字段,很灵活。你也能够简单的使用,好比简单的方式。通过json_encode和base64_encode就可获得payload数据库
signature组成部分
将header和payload使用header中指定的加密算法加密,固然加密过程还须要自定秘钥,本身选一个字符串就能够了。
官网实例:json
HMACSHA256( base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)
本身使用:后端
<?php
public static function encode(array $payload, string $key, string $alg = 'SHA256')
{
$key = md5($key);
$jwt = self::urlsafeB64Encode(json_encode(['typ' => 'JWT', 'alg' => $alg])) . '.' . self::urlsafeB64Encode(json_encode($payload));
return $jwt . '.' . self::signature($jwt, $key, $alg);
}
public static function signature(string $input, string $key, string $alg)
{
return hash_hmac($alg, $input, $key);
}
这三个部分使用.链接起来就是高大上的JWT,而后就可使用了.服务器
JWT使用流程
官方使用流程说明:
cookie
翻译一下:
- 初次登陆:用户初次登陆,输入用户名密码
- 密码验证:服务器从数据库取出用户名和密码进行验证
- 生成JWT:服务器端验证经过,根据从数据库返回的信息,以及预设规则,生成JWT
- 返还JWT:服务器的HTTP RESPONSE中将JWT返还
- 带JWT的请求:之后客户端发起请求,HTTP REQUEST HEADER中的Authorizatio字段都要有值,为JWT
JWT 验证过程
由于本身写的,没有使用框架,因此仍是得简单记录一下验证过程
客户端在请求头中带有JWT信息,后端获取$_SERVER[HTTP_AUTHORIZATION]:
session
不过注意一点,我这个Authorization没有加Bearer,官方使用中就使用了Bearer,你也能够本身使用:框架
Authorization: Bearer <token>
php 验证伪代码:
<?php
public static function decode(string $jwt, string $key)
{
$tokens = explode('.', $jwt);
$key = md5($key);
if (count($tokens) != 3)
return false;
list($header64, $payload64, $sign) = $tokens;
$header = json_decode(self::urlsafeB64Decode($header64), JSON_OBJECT_AS_ARRAY);
if (empty($header['alg']))
return false;
if (self::signature($header64 . '.' . $payload64, $key, $header['alg']) !== $sign)
return false;
$payload = json_decode(self::urlsafeB64Decode($payload64), JSON_OBJECT_AS_ARRAY);
$time = $_SERVER['REQUEST_TIME'];
if (isset($payload['iat']) && $payload['iat'] > $time)
return false;
if (isset($payload['exp']) && $payload['exp'] < $time)
return false;
return $payload;
}
public static function urlsafeB64Decode(string $input)
{
$remainder = strlen($input) % 4;
if ($remainder)
{
$padlen = 4 - $remainder;
$input .= str_repeat('=', $padlen);
}
return base64_decode(strtr($input, '-_', '+/'));
}
public static function urlsafeB64Encode(string $input)
{
return str_replace('=', '', strtr(base64_encode($input), '+/', '-_'));
}
参考文章:
https://jwt.io/introduction/
http://www.cnblogs.com/zjutzz...
相关文章
- 1. php 后端实现JWT认证方法
- 2. 在WEB中使用PHP链接MySQL的方法
- 3. JWT 在 Gin 中的使用
- 4. 先后端分离之JWT(JSON Web Token)的使用
- 5. PHP Authorization with JWT (JSON Web Tokens)
- 6. 使用json web token(jwt)
- 7. PHP 如何使用使用 JWT
- 8. 【Web前端】CSS使用方法
- 9. PHP -------wkhtmltopdf的使用方法
- 10. Laravel 整合 JWT 的方法
- 更多相关文章...
- • 在Spring中使用Redis - Redis教程
- • Redis在Java Web中的应用 - Redis教程
- • Git可视化极简易教程 — Git GUI使用方法
- • TiDB 在摩拜单车在线数据业务的应用和实践
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
欢迎关注本站公众号,获取更多信息
