JWT是什么

JWT是json web token缩写。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。基于token的身份验证可以替代传统的cookie+session身份验证方法。

JWT由三个部分组成:header.payload.signature

以下示例以JWT官网为例

header部分:



{

  "alg": "HS256",

  "typ": "JWT"

}

对应base64UrlEncode编码为:eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9
说明:该字段为json格式。alg字段指定了生成signature的算法,默认值为HS256,typ默认值为JWT

payload部分:



{

  "sub": "1234567890",

  "name": "John Doe",

  "iat": 1516239022

}

对应base64UrlEncode编码为:eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ
说明:该字段为json格式,表明用户身份的数据,可以自己自定义字段,很灵活。sub 面向的用户,name 姓名 ,iat 签发时间。例如可自定义示例如下:



{

    "iss": "admin",          //该JWT的签发者

    "iat": 1535967430,        //签发时间

    "exp": 1535974630,        //过期时间

    "nbf": 1535967430,         //该时间之前不接收处理该Token

    "sub": "www.admin.com",   //面向的用户

    "jti": "9f10e796726e332cec401c569969e13e"   //该Token唯一标识

}

signature部分:



HMACSHA256(

  base64UrlEncode(header) + "." +

  base64UrlEncode(payload),

  123456

)

对应的签名为:keH6T3x1z7mmhKL1T3r9sQdAxxdzB6siemGMr_6ZOwU

最终得到的JWT的json为(header.payload.signature):eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.keH6T3x1z7mmhKL1T3r9sQdAxxdzB6siemGMr_6ZOwU
说明:对header和payload进行base64UrlEncode编码后进行拼接。通过key(这里是123456)进行HS256算法签名。

JWT使用流程

  1. 初次登录:用户初次登录,输入用户名密码
  2. 密码验证:服务器从数据库取出用户名和密码进行验证
  3. 生成JWT:服务器端验证通过,根据从数据库返回的信息,以及预设规则,生成JWT
  4. 返还JWT:服务器的HTTP RESPONSE中将JWT返还
  5. 带JWT的请求:以后客户端发起请求,HTTP REQUEST
  6. HEADER中的Authorizatio字段都要有值,为JWT
  7. 服务器验证JWT

PHP如何实现JWT

作者使用的是PHP 7.0.31,不废话,直接上代码,新建jwt.php,复制粘贴如下:



<?php

/**

 * PHP实现jwt

 */

class Jwt {

    //头部

    private static $header=array(

        'alg'=>'HS256', //生成signature的算法

        'typ'=>'JWT'    //类型

    );

    //使用HMAC生成信息摘要时所使用的密钥

    private static $key='123456';

    /**

     * 获取jwt token

     * @param array $payload jwt载荷   格式如下非必须

     * [

     *  'iss'=>'jwt_admin',  //该JWT的签发者

     *  'iat'=>time(),  //签发时间

     *  'exp'=>time()+7200,  //过期时间

     *  'nbf'=>time()+60,  //该时间之前不接收处理该Token

     *  'sub'=>'www.admin.com',  //面向的用户

     *  'jti'=>md5(uniqid('JWT').time())  //该Token唯一标识

     * ]

     * @return bool|string

     */

    public static function getToken(array $payload)

    {

        if(is_array($payload))

        {

            $base64header=self::base64UrlEncode(json_encode(self::$header,JSON_UNESCAPED_UNICODE));

            $base64payload=self::base64UrlEncode(json_encode($payload,JSON_UNESCAPED_UNICODE));

            $token=$base64header.'.'.$base64payload.'.'.self::signature($base64header.'.'.$base64payload,self::$key,self::$header['alg']);

            return $token;

        }else{

            return false;

        }

    }

    /**

     * 验证token是否有效,默认验证exp,nbf,iat时间

     * @param string $Token 需要验证的token

     * @return bool|string

     */

    public static function verifyToken(string $Token)

    {

        $tokens = explode('.', $Token);

        if (count($tokens) != 3)

            return false;

        list($base64header, $base64payload, $sign) = $tokens;

        //获取jwt算法

        $base64decodeheader = json_decode(self::base64UrlDecode($base64header), JSON_OBJECT_AS_ARRAY);

        if (empty($base64decodeheader['alg']))

            return false;

        //签名验证

        if (self::signature($base64header . '.' . $base64payload, self::$key, $base64decodeheader['alg']) !== $sign)

            return false;

        $payload = json_decode(self::base64UrlDecode($base64payload), JSON_OBJECT_AS_ARRAY);

        //签发时间大于当前服务器时间验证失败

        if (isset($payload['iat']) && $payload['iat'] > time())

            return false;

        //过期时间小宇当前服务器时间验证失败

        if (isset($payload['exp']) && $payload['exp'] < time())

            return false;

        //该nbf时间之前不接收处理该Token

        if (isset($payload['nbf']) && $payload['nbf'] > time())

            return false;

        return $payload;

    }

    /**

     * base64UrlEncode   https://jwt.io/  中base64UrlEncode编码实现

     * @param string $input 需要编码的字符串

     * @return string

     */

    private static function base64UrlEncode(string $input)

    {

        return str_replace('=', '', strtr(base64_encode($input), '+/', '-_'));

    }

    /**

     * base64UrlEncode  https://jwt.io/  中base64UrlEncode解码实现

     * @param string $input 需要解码的字符串

     * @return bool|string

     */

    private static function base64UrlDecode(string $input)

    {

        $remainder = strlen($input) % 4;

        if ($remainder) {

            $addlen = 4 - $remainder;

            $input .= str_repeat('=', $addlen);

        }

        return base64_decode(strtr($input, '-_', '+/'));

    }

    /**

     * HMACSHA256签名   https://jwt.io/  中HMACSHA256签名实现

     * @param string $input 为base64UrlEncode(header).".".base64UrlEncode(payload)

     * @param string $key

     * @param string $alg   算法方式

     * @return mixed

     */

    private static function signature(string $input, string $key, string $alg = 'HS256')

    {

        $alg_config=array(

            'HS256'=>'sha256'

        );

        return self::base64UrlEncode(hash_hmac($alg_config[$alg], $input, $key,true));

    }

}

    //测试和官网是否匹配begin

    $payload=array('sub'=>'1234567890','name'=>'John Doe','iat'=>1516239022);

    $jwt=new Jwt;

    $token=$jwt->getToken($payload);

    echo "<pre>";

    echo $token;

    //对token进行验证签名

    $getPayload=$jwt->verifyToken($token);

    echo "<br><br>";

    var_dump($getPayload);

    echo "<br><br>";

    //测试和官网是否匹配end

    //自己使用测试begin

    $payload_test=array('iss'=>'admin','iat'=>time(),'exp'=>time()+7200,'nbf'=>time(),'sub'=>'www.admin.com','jti'=>md5(uniqid('JWT').time()));;

    $token_test=Jwt::getToken($payload_test);

    echo "<pre>";

    echo $token_test;

    //对token进行验证签名

    $getPayload_test=Jwt::verifyToken($token_test);

    echo "<br><br>";

    var_dump($getPayload_test);

    echo "<br><br>";

    //自己使用时候end

原文地址:https://segmentfault.com/a/1190000016251365

php 后端实现JWT认证方法的更多相关文章

  1. SpringBoot整合SpringSecurity实现JWT认证

    目录 前言 目录 1.创建SpringBoot工程 2.导入SpringSecurity与JWT的相关依赖 3.定义SpringSecurity需要的基础处理类 4. 构建JWT token工具类 5 ...

  2. jwt认证生成后的token如何传回后端并解析的详解

    jwt认证生成后的token后端解析 一.首先前端发送token token所在的位置headers {'authorization':token的值',Content-Type':applicati ...

  3. 实战!spring Boot security+JWT 前后端分离架构认证登录!

    大家好,我是不才陈某~ 认证.授权是实战项目中必不可少的部分,而Spring Security则将作为首选安全组件,因此陈某新开了 <Spring Security 进阶> 这个专栏,写一 ...

  4. 使用python实现后台系统的JWT认证(转)

    今天的文章介绍一种适用于restful+json的API认证方法,这个方法是基于jwt,并且加入了一些从oauth2.0借鉴的改良. 1. 常见的几种实现认证的方法 首先要明白,认证和鉴权是不同的.认 ...

  5. Asp.Net Core基于JWT认证的数据接口网关Demo

    近日,应一位朋友的邀请写了个Asp.Net Core基于JWT认证的数据接口网关Demo.朋友自己开了个公司,接到的一个升级项目,客户要求用Aps.Net Core做数据网关服务且基于JWT认证实现对 ...

  6. Laravel 中使用 JWT 认证的 Restful API

    Laravel 中使用 JWT 认证的 Restful API 5天前/  678 /  3 / 更新于 3天前     在此文章中,我们将学习如何使用 JWT 身份验证在 Laravel 中构建 r ...

  7. JWT认证原理及使用

    一.JWT原理: 参考文章:https://www.jianshu.com/p/180a870a308a 1.传统的登录方式: 浏览器输入用户名密码,服务端校验通过,根据用户信息生成一个token,将 ...

  8. 把旧系统迁移到.Net Core 2.0 日记 (18) --JWT 认证(Json Web Token)

    我们最常用的认证系统是Cookie认证,通常用一般需要人工登录的系统,用户访问授权范围的url时,会自动Redirect到Account/Login,登录后把认证结果存在cookie里. 系统只要找到 ...

  9. Django REST framework 之JWT认证

    Json Web Token 1.JWT简介 JWT 是一个开放标准(RFC 7519),它定义了一种用于简洁,自包含的用于通信双方之间以 JSON 对象的形式安全传递信息的方法.JWT 可以使用 H ...

随机推荐

  1. 关东升的《从零開始学Swift》即将出版

    大家好: 苹果2015WWDC大会公布了Swift2.0,它较之前的版本号Swift1.x有非常大的变化.所以我即将出版<从零開始学Swift><从零開始学Swift>将在&l ...

  2. MapReduce:具体解释Shuffle过程

    Shuffle过程是MapReduce的核心,也被称为奇迹发生的地方.要想理解MapReduce, Shuffle是必需要了解的.我看过非常多相关的资料,但每次看完都云里雾里的绕着,非常难理清大致的逻 ...

  3. hdu 1698(线段树区间更新)

    Just a Hook Time Limit: 4000/2000 MS (Java/Others)    Memory Limit: 32768/32768 K (Java/Others)Total ...

  4. 第14课 SourceTree程序操作介绍

    http://www.atlassian.com/software/sourcetree/overview https://www.microsoft.com/net/framework/versio ...

  5. [转]RDLC报表格式化format表达式

    本文转自:http://www.cnblogs.com/samlin/archive/2012/04/17/FormatDateTime.html 刚开始接触RDLC报表,觉得RDLC报表提供的格式化 ...

  6. POJ 2186 Tarjan

    题意:有n(n<=10000)头牛,每头牛都想成为最受欢迎的牛,给出m(m<=50000)个关系,如(1,2)代表1欢迎2,关系可以传递,但是不是相互的,那么就是说1欢迎2不代表2欢迎1, ...

  7. 自学Python七 爬虫实战一

    此文承接上文,让我们写一个简简单单的爬虫,循序而渐进不是吗?此次进行的练习是爬取前5页什么值得买网站中的白菜价包邮信息.包括名称,价格,推荐人,时间. 我们所需要做的工作:1.确定URL并获得页面代码 ...

  8. 酷派 5267 刷入第三方 recovery教程 刷机 ROOT

    准备工作: 一台电脑: 酷派5267手机: 一张内存卡: 下载好刷机资料:  http://pan.baidu.com/s/1i4LoVh7 备用下载: http://pan.baidu.com/s/ ...

  9. 安装完MongoDB后尝试mongod -dbpath命令为什么会一直卡在连接端口?

    1.现象如下 Linux Windows 2.原因 其实,这不是卡住了,而是告诉我们.数据库已经启动,而且这个东东还不能关掉,关掉意味着数据库也关了.一开始我也是傻逼逼的在那等了一天,哎.... 3. ...

  10. C#中SetWindowPos函数详解

    [DllImport("user32.dll")] private static extern bool SetWindowPos(IntPtr hWnd, IntPtr hWnd ...