一直没有好好看过jwt,直到前两天要做web验证,朋友给我推荐了jwt。才发现jwt已经被大家广泛的应用了。看来我有点out了。哈哈,趁着这个世界来好好看看这个。

JWT(JSON Web Token), 顾名思义就是可以在Web上传输的token,这种token是用JSON格式进行format的。它是一个开源标准(RFC 7519),定义了一个紧凑的自包含的方式在不同实体之间安全的用JSON格式传输信息。

由于现在很多项目都是前后端分离,restful api模式。所以传统的session模式就没有办法满足认证需求,这个时候jwt的作用就来了。可以说 restful api认证是jwt的一个很好的应用场景。

下面是一个很小的demo



<?php

require_once 'src/JWT.php';

header('Content-type:application/json');

//定义Key

const KEY = 'dasjdkashdwqe1213dsfsn;p';

$user = [

    'uid'=>'dadsa-12312-vsd1s1-fsds',

    'account'=>'daisc',

    'password'=>'123456'

];

$redis = redis();

$action  =  $_GET['action'];

switch ($action)

{

    case 'login':

        login();

        break;

    case 'info':

        info();

        break;

}

//登陆,写入验证token

function login()

{

    global  $user;

    $account = $_GET['account'];

    $pwd = $_GET['password'];

    $res = [];

    if($account==$user['account']&&$pwd==$user['password'])

    {

        unset($user['password']);

        $time = time();

        $token = [

            'iss'=>'http://test.cc',//签发者

            'iat'=>$time,

            'exp'=>$time+60,

            'data'=>$user

        ];

        $jwt = \Firebase\JWT\JWT::encode($token,KEY);

        $res['code'] = 200;

        $res['message'] = '登录成功';

        $res['jwt'] = $jwt;

    }

    else

    {

        $res['message']= '用户名或密码错误';

        $res['code'] = 401;

    }

    exit(json_encode($res));

}

function info()

{

   $jwt = $_SERVER['HTTP_AUTHORIZATION'] ?? false;

   $res['code'] = 200;

   if($jwt)

   {

        $jwt = str_replace('Bearer ','',$jwt);

        if(empty($jwt))

        {

            $res['code'] = 401;

            $res['msg'] = 'You do not have permission to access.';

            exit(json_encode($res));

        }

        try{

            $token = (array) \Firebase\JWT\JWT::decode($jwt,KEY, ['HS256']);

            if($token['exp']<time())

            {

                $res['code'] = 401;

                $res['msg'] = '登录超时,请重新登录';

            }

            $res['data']= $token['data'];

        }catch (\Exception $E)

        {

            $res['code'] = 401;

            $res['msg'] = '登录超时,请重新登录.';

        }

   }

   else

   {

       $res['code'] = 401;

       $res['msg'] = 'You do not have permission to access.';

   }

    exit(json_encode($res));

}

//连接redis

function redis()

{

    $redis = new  Redis();

    $redis->connect('127.0.0.1');

    return $redis;

}

这个dmeo里面用jwt做了一个简单的认证。 其中用到了一个php-jwt的加密包https://github.com/firebase/php-jwt

其中KEY为定义的私钥也就是jwt里面的 sign部分,这个一定要保存好。
header部分php-jwt包里面已经帮我们完成了,加密代码如下



    */

    public static function encode($payload, $key, $alg = 'HS256', $keyId = null, $head = null)

    {

        $header = array('typ' => 'JWT', 'alg' => $alg);

        if ($keyId !== null) {

            $header['kid'] = $keyId;

        }

        if ( isset($head) && is_array($head) ) {

            $header = array_merge($head, $header);

        }

        $segments = array();

        $segments[] = static::urlsafeB64Encode(static::jsonEncode($header));

        $segments[] = static::urlsafeB64Encode(static::jsonEncode($payload));

        $signing_input = implode('.', $segments);

        $signature = static::sign($signing_input, $key, $alg);

        $segments[] = static::urlsafeB64Encode($signature);

        return implode('.', $segments);

    }

可以看出默认的加密的方式是HS256。这也是说jwt安全的原因。现阶段HS256加密还是很安全的。
这个包里面也支持证书加密。

加密解密的过程这个包已经帮我们完成了。所以我们只需要定义jwt中的 poyload部分就可以了。也就是demo里面的token部分。加密成功会得到一个加密的Jwt字符串,下次前端在请求api的时候需要携带这个jwt字符串作为认证。
在header头里面增加Authorization。在服务端验证的时候回通过取得这个值来验证回话的有效。

下面是poyload的一些常用配置



 $token   = [

            #非必须。issuer 请求实体,可以是发起请求的用户的信息,也可是jwt的签发者。

            "iss"       => "http://example.org",

            #非必须。issued at。 token创建时间,unix时间戳格式

            "iat"       => $_SERVER['REQUEST_TIME'],

            #非必须。expire 指定token的生命周期。unix时间戳格式

            "exp"       => $_SERVER['REQUEST_TIME'] + 7200,

            #非必须。接收该JWT的一方。

            "aud"       => "http://example.com",

            #非必须。该JWT所面向的用户

            "sub"       => "jrocket@example.com",

            # 非必须。not before。如果当前时间在nbf里的时间之前,则Token不被接受;一般都会留一些余地,比如几分钟。

            "nbf"       => 1357000000,

            # 非必须。JWT ID。针对当前token的唯一标识

            "jti"       => '222we',

            # 自定义字段

            "GivenName" => "Jonny",

            # 自定义字段

            "name"   => "Rocket",

            # 自定义字段

            "Email"     => "jrocket@example.com",

        ];

里面包含的配置可以自由配置,也可以自己添加一些其他的。这些都是网上大家常用的,可以说是一种约定吧。

对于jwt还有很多有疑问的地方,下来在慢慢研究,比如续期以及退出的问题

原文地址:https://segmentfault.com/a/1190000016633900

PHP JWT初识的更多相关文章

  1. JWT初识记录

    因为前一段时间做了一个系统持续操作期间自动刷新token有效性的需求,然后就想着找一个空闲时间总结一下JWT,所以今天就简单的记录一下自己了解的内容. JWT是什么 JWT全称是JSON Web To ...

  2. 初识SSO与JWT

    以前在学校做项目的时候,登录注销,权限验证这些事情,都是交给框架来做的,每次都是把这个架子拿到项目中去,也没有真正思考过它的过程,总觉的这些都是十分简单的逻辑. 然而来公司工作之后,慢慢觉得登录和权限 ...

  3. Spring Boot初识(4)- Spring Boot整合JWT

    一.本文介绍 上篇文章讲到Spring Boot整合Swagger的时候其实我就在思考关于接口安全的问题了,在这篇文章了我整合了JWT用来保证接口的安全性.我会先简单介绍一下JWT然后在上篇文章的基础 ...

  4. 初识单点登录及JWT实现

    单点登录 多系统,单一位置登录,实现多系统同时登录的一种技术 (三方登录:某系统使用其他系统的用户,实现本系统登录的方式.如微信登录.支付宝登录) 单点登录一般是用于互相授信的系统,实现单一位置登录, ...

  5. 初识JWT

    1.JWT是什么 官方网站 JWT是JSON Web Token的简称.是一种开放标准(RFC 7519),定义了一种紧凑且自包含的方式,以JSON对象的形式在各方之间安全地传输信息,因为他被数字签名 ...

  6. ASP.NET Core WebAPI中使用JWT Bearer认证和授权

    目录 为什么是 JWT Bearer 什么是 JWT JWT 的优缺点 在 WebAPI 中使用 JWT 认证 刷新 Token 使用授权 简单授权 基于固定角色的授权 基于策略的授权 自定义策略授权 ...

  7. drf框架 - JWT认证插件

    JWT认证 JWT认证方式与其他认证方式对比: 优点 1) 服务器不要存储token,token交给每一个客户端自己存储,服务器压力小 2)服务器存储的是 签发和校验token 两段算法,签发认证的效 ...

  8. ASP.NET Web API 2系列(四):基于JWT的token身份认证方案

    1.引言 通过前边的系列教程,我们可以掌握WebAPI的初步运用,但是此时的API接口任何人都可以访问,这显然不是我们想要的,这时就需要控制对它的访问,也就是WebAPI的权限验证.验证方式非常多,本 ...

  9. CAS单点登录(一)——初识SSO

    转载:https://blog.csdn.net/Anumbrella/article/details/80821486 一.初识CAS 首先我们来说一下CAS,CAS全称为Central Authe ...

随机推荐

  1. css控制单行或者多行文本超出显示省略号

    1.单行文本 使用text-overflow:ellipsis属性 text-overflow: clip|ellipsis|string; clip:修剪文本. ellipsis:显示省略符号来代表 ...

  2. kernel zram feature

    what is zram? Zram wiki zram zram(也称为 zRAM,先前称为 compcache)是 Linux 内核的一项功能,可提供虚拟内存压缩.zram 通过在 RAM 内的压 ...

  3. ES6 Symbol类型 附带:Proxy和Set

    七种数据类型 ·Symbol ·undefined ·null ·Boolean ·String ·Number ·Object let a = Symbol('this is a symbol'); ...

  4. CRM系统 - 总结 (二) stark组件

    介绍: stark组件,是一个帮助开发者快速实现数据库表的增删改查+的组件.目标: 10s 中完成一张表的增删改查. 前戏: django项目启动时,自定义执行某个py文件. django启动时,且在 ...

  5. MyEclipse 设置JSP,HTML的默认打开方式,避免出现打开后上面出现浏览器

    1. 2. 3. jsp的设置一样,这样myeclipse打开jsp就不会出现上面的浏览器了

  6. js实现鼠标吸附线条效果

    如图,箭头→为鼠标位置,鼠标会带有吸附着一些线条的效果,具体效果可在我的博客查看,当然,这也是可很受欢迎很常见的效果了=3= <script> !function(){ function ...

  7. 2015 Multi-University Training Contest 8 hdu 5389 Zero Escape

    Zero Escape Time Limit: 2000/1000 MS (Java/Others)    Memory Limit: 131072/131072 K (Java/Others)Tot ...

  8. maven这些工具负责创建项目,然后maven负责打包好war包扔进tomcat容器,tomcat容器接受的只是jar包

    maven这些工具负责创建项目,然后maven负责打包好war包扔进tomcat容器,tomcat容器接受的只是jar包 2.tomcat不管你什么编译的,也不管你开发工具是什么.Tomcat只接受w ...

  9. JQuery与CSS之图片上放置button

    position:relative日常应用的时候通常是设置给position:absolute;的父层的, 父层position:relative; 子层position:absolute;的话, 就 ...

  10. java.util.concurrent.ExecutionException: org.apache.catalina.LifecycleException: Failed to start com

    错误如题. 原因:web.xml中的servlet映射<url-pattern> 配置错误 改动正确就可以. 我直接删除了,bug就攻克了. 另一个问题是 xxx.jar fail to ...