一直沒有好好看過jwt,直到前兩天要做web驗證,朋友給我推薦了jwt。才發現jwt已經被大家廣泛的應用了。看來我有點out了。哈哈,趁著這個世界來好好看看這個。
JWT(JSON Web Token), 顧名思義就是可以在Web上傳輸的token,這種token是用JSON格式進行format的。它是一個開源標準(RFC 7519),定義了一個緊湊的自包含的方式在不同實體之間安全的用JSON格式傳輸信息。由于現在很多項目都是前后端分離,restful api模式。所以傳統的session模式就沒有辦法滿足認證需求,這個時候jwt的作用就來了。可以說 restful api認證是jwt的一個很好的應用場景。
下面是一個很小的demo
?phprequire_once src/JWT.php header( Content-type:application/json //定義Keyconst KEY = dasjdkashdwqe1213dsfsn;p $user = [ uid = dadsa-12312-vsd1s1-fsds , account = daisc , password = 123456 $redis = redis();$action = $_GET[ action switch ($action) case login : login(); break; case info : info(); break;//登陸,寫入驗證tokenfunction login() global $user; $account = $_GET[ account $pwd = $_GET[ password $res = []; if($account==$user[ account ] $pwd==$user[ password ]) unset($user[ password $time = time(); $token = [ iss = http://test.cc ,//簽發者 iat = $time, exp = $time+60, data = $user $jwt = /Firebase/JWT/JWT::encode($token,KEY); $res[ code ] = 200; $res[ message ] = 登錄成功 $res[ jwt ] = $jwt; else $res[ message ]= 用戶名或密碼錯誤 $res[ code ] = 401; exit(json_encode($res));
$token = (array) /Firebase/JWT/JWT::decode($jwt,KEY, [ HS256 if($token[ exp ] time()) $res[ code ] = 401; $res[ msg ] = 登錄超時,請重新登錄 $res[ data ]= $token[ data }catch (/Exception $E) $res[ code ] = 401; $res[ msg ] = 登錄超時,請重新登錄. else $res[ code ] = 401; $res[ msg ] = You do not have permission to access. exit(json_encode($res));
return $redis;}
這個dmeo里面用jwt做了一個簡單的認證。 其中用到了一個php-jwt的加密包https://github.com/firebase/php-jwt
其中KEY為定義的私鑰也就是jwt里面的 sign部分,這個一定要保存好。
而header部分php-jwt包里面已經幫我們完成了,加密代碼如下
*/ html' target='_blank'>public static function encode($payload, $key, $alg = HS256 , $keyId = null, $head = null) $header = array( typ = JWT , alg = $alg); if ($keyId !== null) { $header[ kid ] = $keyId; if ( isset($head) is_array($head) ) { $header = array_merge($head, $header); $segments = array(); $segments[] = static::urlsafeB64Encode(static::jsonEncode($header)); $segments[] = static::urlsafeB64Encode(static::jsonEncode($payload)); $signing_input = implode( . , $segments); $signature = static::sign($signing_input, $key, $alg); $segments[] = static::urlsafeB64Encode($signature); return implode( . , $segments); }
可以看出默認的加密的方式是HS256。這也是說jwt安全的原因。現階段HS256加密還是很安全的。
這個包里面也支持證書加密。
加密解密的過程這個包已經幫我們完成了。所以我們只需要定義jwt中的 poyload部分就可以了。也就是demo里面的token部分。加密成功會得到一個加密的Jwt字符串,下次前端在請求api的時候需要攜帶這個jwt字符串作為認證。
在header頭里面增加Authorization。在服務端驗證的時候回通過取得這個值來驗證回話的有效。
下面是poyload的一些常用配置
$token = [ #非必須。issuer 請求實體,可以是發起請求的用戶的信息,也可是jwt的簽發者。 iss = http://example.org , #非必須。issued at。 token創建時間,unix時間戳格式 iat = $_SERVER[ REQUEST_TIME ], #非必須。expire 指定token的生命周期。unix時間戳格式 exp = $_SERVER[ REQUEST_TIME ] + 7200, #非必須。接收該JWT的一方。 aud = http://example.com , #非必須。該JWT所面向的用戶 sub = [email protected] , # 非必須。not before。如果當前時間在nbf里的時間之前,則Token不被接受;一般都會留一些余地,比如幾分鐘。 nbf = 1357000000, # 非必須。JWT ID。針對當前token的唯一標識 jti = 222we , # 自定義字段 GivenName = Jonny , # 自定義字段 name = Rocket , # 自定義字段 Email = [email protected] , ];
里面包含的配置可以自由配置,也可以自己添加一些其他的。這些都是網上大家常用的,可以說是一種約定吧。
以上就是JWT是什么?對JWT的簡單認識的詳細內容,PHP教程
鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播更多信息之目的,如作者信息標記有誤,請第一時間聯系我們修改或刪除,多謝。
新聞熱點
疑難解答
