以往,没有做过前后端分离的项目之前,都是服务器渲染的模板,然后用cookie和session进行账号的权限验证或者是登录状态的管理。后来接触了vue和小程序之后,在进行前后端分离的时候,就会遇到权限验证和登录会话保存。因为HTTP协议是开放的,可以任人调用。所以,如果接口不希望被随意调用,就需要做访问权限的控制,认证是好的用户,才允许调用API。

JWT优点

1:服务端不需要保存传统会话信息,没有跨域传输问题,减小服务器开销。

2:jwt构成简单,占用很少的字节,便于传输。

3:json格式通用,不同语言之间都可以使用。

jwt由三部分组成:

头部(header) 载荷(payload) 包含一些定义信息和自定义信息 签证(signature)

所以这里就会用到bearer的令牌访问,就是jwt;定义:为了验证使用者的身份,需要客户端向服务器端提供一个可靠的验证信息,称为Token,这个token通常由Json数据格式组成,通过hash散列算法生成一个字符串,所以称为Json Web Token(Json表示令牌的原始值是一个Json格式的数据,web表示是在互联网传播的,token表示令牌,简称JWT)

首先我们从GitHub处用composer require firebase/php-jwt下载firebase/php-jwt,怎么用composer我就不累述了,我过去的文章里面有安装教程。

安装好了之后,我们可以新建一个user控制来测试代码的完整性,首先我们创建三个控制方法

Base.php

基础控制器base.php主要是用来验证每次接受请求的时候,验证http请求头里面是否携带了token,如何将token放到请求头里面,这个前端会做的了。

<?php

/**

 * Created by PhpStorm.

 * User: nobita

 * Date: 2/15

 * Time: 14:55

 */

namespace app\user\controller;

use think\Request;

use Firebase\JWT\JWT;

use think\Controller;

class Base extends Controller

{

    public function _initialize()

    {

        parent::_initialize();

        $this->checkToken();

    }

    public function checkToken()

    {

        $header = Request::instance()->header();

        if ($header['authorization'] == 'null'){

            echo json_encode([

                'status' => 1002,

                'msg' => 'Token不存在,拒绝访问'

            ]);

            exit;

        }else{

            $checkJwtToken = $this->verifyJwt($header['authorization']);

            if ($checkJwtToken['status'] == 1001) {

                return true;

            }

        }

    }

    //校验jwt权限API

    protected function verifyJwt($jwt)

    {

        $key = md5('nobita');

        // JWT::$leeway = 3;

        try {

            $jwtAuth = json_encode(JWT::decode($jwt, $key, array('HS256')));

            $authInfo = json_decode($jwtAuth, true);

            $msg = [];

            if (!empty($authInfo['user_id'])) {

                $msg = [

                    'status' => 1001,

                    'msg' => 'Token验证通过'

                ];

            } else {

                $msg = [

                    'status' => 1002,

                    'msg' => 'Token验证不通过,用户不存在'

                ];

            }

            return $msg;

        } catch (\Firebase\JWT\SignatureInvalidException $e) {

            echo json_encode([

                'status' => 1002,

                'msg' => 'Token无效'

            ]);

            exit;

        } catch (\Firebase\JWT\ExpiredException $e) {

            echo json_encode([

                'status' => 1003,

                'msg' => 'Token过期'

            ]);

            exit;

        } catch (Exception $e) {

            return $e;

        }

    }

}

Login.php

登录控制器,只要是用来验证用户输入的账号密码是否匹配数据库的信息,如果匹配的话,就申请token,并且返回token给前端储存在本地,每次请求的时候把token假如到请求头里面

<?php

/**

 * Created by PhpStorm.

 * User: nobita

 * Date: 2/15

 * Time: 14:55

 */

namespace app\user\controller;

use app\common\model\nobita\Test as TestModel;

use Firebase\JWT\JWT;

class Login

{

    public function index()

    {

        $data = input('post.');

        $username = htmlspecialchars($data['username']);

        $password = htmlspecialchars($data['password']);

        $user = TestModel::where('username', $username)->find();

        if (!empty($user)) {

            if ($username === $user['username'] && $password === $user['password']) {

                $msg = [

                    'status' => 1001,

                    'msg' => '登录成功',

                    'jwt' => self::createJwt($user['id'])

                ];

                return $msg;

            } else {

                return [

                    'status' => 1002,

                    'msg' => '账号密码错误'

                ];

            }

        } else {

            return [

                'status' => 1002,

                'msg' => '请输入账号密码'

            ];

        }

    }

    public function createJwt($userId)

    {

        $key = md5('nobita'); //jwt的签发密钥,验证token的时候需要用到

        $time = time(); //签发时间

        $expire = $time + 14400; //过期时间

        $token = array(

            "user_id" => $userId,

            "iss" => "https://199508.com",//签发组织

            "aud" => "https://199508.com", //签发作者

            "iat" => $time,

            "nbf" => $time,

            "exp" => $expire

        );

        $jwt = JWT::encode($token, $key);

        return $jwt;

    }

}

User.php

用来验证代码的完整性

<?php

/**

 * Created by PhpStorm.

 * User: nobita

 * Date: 2/15

 * Time: 15:24

 */

namespace app\user\controller;

use think\Request;

use app\common\model\nobita\Test as TestModel;

class User extends Base //继承基础控制器

{

    public function index()

    {

        return TestModel::all();

    }

}

ThinkPHP5使用jwt进行会话验证的更多相关文章

  1. 不要使用 JWT 进行会话管理

    英文原文地址:Stop using JWT for sessions 最近我发现越来越多的人推荐使用 JWT 来在 Web 应用中管理会话(Session),这是一个非常非常糟糕的主意,在这篇文章中我 ...

  2. SpringBoot集成JWT实现token验证

    原文:https://www.jianshu.com/p/e88d3f8151db JWT官网: https://jwt.io/ JWT(Java版)的github地址:https://github. ...

  3. 关于浏览器URL中出现会话验证字符说明

    服务器安装了网站安全狗,访问网站的时候会显示一串类似iissafedogccsision=7Z86v5H5z这样的会话验证信息. 安全狗官方解释 出现该字符的主要原因是用户开启了网站安全狗的CC防护的 ...

  4. Thinkphp5 微信公众号token验证不成功的原因

    最近要启动微信项目,上个月就开始了解微信的开发,这个月要启动项目,配置微信公众号信息一直失败.为此,我甚至手工写了微信提交过来的记录,如: &timestamp=1510210523& ...

  5. Laravel jwt 多表验证隔离

    为什么要做隔离 当同一个laravel项目有多端(移动端.管理端......)都需要使用jwt做用户验证时,如果用户表有多个(一般都会有),就需要做token隔离,不然会发生移动端的token也能请求 ...

  6. 1、传统身份验证和JWT的身份验证

    1.传统身份验证和JWT的身份验证 传统身份验证:       HTTP 是一种没有状态的协议,也就是它并不知道是谁是访问应用.这里我们把用户看成是客户端,客户端使用用户名还有密码通过了身份验证,不过 ...

  7. ASP.NET Core搭建多层网站架构【10-使用JWT进行授权验证】

    2020/01/31, ASP.NET Core 3.1, VS2019, Microsoft.AspNetCore.Authentication.JwtBearer 3.1.1 摘要:基于ASP.N ...

  8. springboot使用jwt进行权限验证

    springboot使用jwt进行权限验证 依赖准备 首先导入对应的依赖 <dependencies> <dependency> <groupId>org.apac ...

  9. 基于jwt的token验证

    一.什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519). 该token被设计为紧凑且安全的,特别适用于分布 ...

随机推荐

  1. 听说你懂个J?——前端发展闲聊

    刚好周末和朋友聊起"前端从受鄙视到变得重要"这个话题,感慨前端这四年来的发展,遂有本文. 1. 前情提要 毋庸讳言,在我刚工作的时候,前端是还是一个不受重视的岗位.切图狗,写网页的 ...

  2. 前端每日实战:23# 视频演示如何用纯 CSS 创作一个菜单反色填充特效

    效果预览 按下右侧的"点击预览"按钮可以在当前页面预览,点击链接可以全屏预览.https://codepen.io/comehope/pen/qYMoPo 可交互视频教程 此视频是 ...

  3. LCA 总结

    代码: //RMQ求LCA struct node { int v, w; }; class LCA { private: vector<int>dep, pos, olx, dis; v ...

  4. 术语-MOSS-微软协作工具:MOSS(微软协作工具)

    ylbtech-术语-MOSS-微软协作工具:MOSS(微软协作工具) MOSS -- Microsoft Office Sharepoint Server,是一款为企业客户而设计的.基于web的内容 ...

  5. 怎么避免从删库到跑路 -- 详解 mysql binlog 的配置与使用

    1. 引言 使用数据库的时候,我们每个操作都十分小心,尤其是不能直接在数据库上执行 update.delete 等操作,否则万一忘记加全 where 条件,可能就会造成无法挽回的结果. 有一句十分流行 ...

  6. 42.Flatten Binary Tree to Linked List

    Level:   Medium 题目描述: Given a binary tree, flatten it to a linked list in-place. For example, given ...

  7. mySQL部分疑问和小结(orale)

    2015/10/15 1.mysql语句: ALTER table scfz_xewp add BGR varchar(255) after KYR 2.创建触发器时:  --/   CREATE D ...

  8. Java调用DB的存储过程

    2015/12/7 使用数据库存储过程的java代码:   try {            con = (Connection) DBProxy.getConnection(null);       ...

  9. SetViewportOrgEx和SetWindowOrgEx

    在MM_TEXT映射模式下使用这两个函数. 对于 BOOL SetViewportOrgEx( HDC hdc, // 设备内容HANDLE int X, // 新Viewport的x坐标 int Y ...

  10. Uncaught PDOException: SQLSTATE[HY000] [2002] No such file or directory

    执行下面的代码报错: $pdo = new PDO('mysql:dbname=db_test;host=localhost', 'root', '123456'); PHP Fatal error: ...