php JWT在web端中的使用方法教程

更新時(shí)間：2018年09月06日 10:51:13 作者：soledad

這篇文章主要給大家介紹了關(guān)于php JWT在web端中的使用方法，文中通過示例代碼介紹的非常詳細(xì)，對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值，需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧

解釋一下JWT

JWT就是一個(gè)字符串，經(jīng)過加密處理與校驗(yàn)處理的字符串，由三個(gè)部分組成。基于token的身份驗(yàn)證可以替代傳統(tǒng)的cookie+session身份驗(yàn)證方法。三個(gè)部分分別如下：

 header.payload.signature

header部分組成

header 格式為:

{
"typ":"JWT",
"alg":"HS256"
}

這就是一個(gè)json串，兩個(gè)字段都是必須的,alg字段指定了生成signature的算法，默認(rèn)值為 HS256,可以自己指定其他的加密算法，如RSA.經(jīng)過base64encode就可以得到 header.

payload 部分組成

playload 基本組成部分：

簡單點(diǎn)：

$payload=[
  'iss' => $issuer, //簽發(fā)者
  'iat' => $_SERVER['REQUEST_TIME'], //什么時(shí)候簽發(fā)的
  'exp' => $_SERVER['REQUEST_TIME'] + 7200 //過期時(shí)間
  'uid'=>1111
 ];

復(fù)雜點(diǎn)：官方說法,三個(gè)部分組成(Reserved claims，Public claims,Private claims)

 $token = [
  #非必須。issuer 請求實(shí)體，可以是發(fā)起請求的用戶的信息，也可是jwt的簽發(fā)者。
  "iss" => "http://example.org",
  #非必須。issued at。 token創(chuàng)建時(shí)間，unix時(shí)間戳格式
  "iat" => $_SERVER['REQUEST_TIME'],
  #非必須。expire 指定token的生命周期。unix時(shí)間戳格式
  "exp" => $_SERVER['REQUEST_TIME'] + 7200,
  #非必須。接收該JWT的一方。
  "aud" => "http://example.com",
  #非必須。該JWT所面向的用戶
  "sub" => "jrocket@example.com",
  # 非必須。not before。如果當(dāng)前時(shí)間在nbf里的時(shí)間之前，則Token不被接受；一般都會留一些余地，比如幾分鐘。
  "nbf" => 1357000000,
  # 非必須。JWT ID。針對當(dāng)前token的唯一標(biāo)識
  "jti" => '222we',
  # 自定義字段
  "GivenName" => "Jonny",
  # 自定義字段
  "name" => "Rocket",
  # 自定義字段
  "Email" => "jrocket@example.com",
  
 ];

payload 也是一個(gè)json數(shù)據(jù)，是表明用戶身份的數(shù)據(jù)，可以自己自定義字段，很靈活。你也可以簡單的使用，比如簡單的方式。經(jīng)過json_encode和base64_encode就可得到payload

signature組成部分

將 header和 payload使用header中指定的加密算法加密，當(dāng)然加密過程還需要自定秘鑰，自己選一個(gè)字符串就可以了。
官網(wǎng)實(shí)例：

HMACSHA256(
 base64UrlEncode(header) + "." +
 base64UrlEncode(payload),
 secret)

自己使用：

<?php

 public static function encode(array $payload, string $key, string $alg = 'SHA256')
 {
 $key = md5($key);
 $jwt = self::urlsafeB64Encode(json_encode(['typ' => 'JWT', 'alg' => $alg])) . '.' . self::urlsafeB64Encode(json_encode($payload));
 return $jwt . '.' . self::signature($jwt, $key, $alg);
 }

 public static function signature(string $input, string $key, string $alg)
 {
 return hash_hmac($alg, $input, $key);
 }

這三個(gè)部分使用.連接起來就是高大上的JWT,然后就可以使用了.

JWT使用流程

官方使用流程說明：

翻譯一下：

初次登錄：用戶初次登錄，輸入用戶名密碼
密碼驗(yàn)證：服務(wù)器從數(shù)據(jù)庫取出用戶名和密碼進(jìn)行驗(yàn)證
生成JWT：服務(wù)器端驗(yàn)證通過，根據(jù)從數(shù)據(jù)庫返回的信息，以及預(yù)設(shè)規(guī)則，生成JWT
返還JWT：服務(wù)器的HTTP RESPONSE中將JWT返還
帶JWT的請求：以后客戶端發(fā)起請求，HTTP REQUEST HEADER中的Authorizatio字段都要有值，為JWT

JWT 驗(yàn)證過程

因?yàn)樽约簩懙?，沒有使用框架，所以還是得簡單記錄一下驗(yàn)證過程

客戶端在請求頭中帶有JWT信息，后端獲取$_SERVER[HTTP_AUTHORIZATION]:

不過注意一點(diǎn)，我這個(gè)Authorization沒有加Bearer,官方使用中就使用了Bearer,你也可以自己使用：

Authorization: Bearer <token>

php 驗(yàn)證偽代碼：

<?php
public static function decode(string $jwt, string $key)
 {
  $tokens = explode('.', $jwt);
  $key = md5($key);

  if (count($tokens) != 3)
   return false;

  list($header64, $payload64, $sign) = $tokens;

  $header = json_decode(self::urlsafeB64Decode($header64), JSON_OBJECT_AS_ARRAY);
  if (empty($header['alg']))
   return false;

  if (self::signature($header64 . '.' . $payload64, $key, $header['alg']) !== $sign)
   return false;

  $payload = json_decode(self::urlsafeB64Decode($payload64), JSON_OBJECT_AS_ARRAY);

  $time = $_SERVER['REQUEST_TIME'];
  if (isset($payload['iat']) && $payload['iat'] > $time)
   return false;

  if (isset($payload['exp']) && $payload['exp'] < $time)
   return false;

  return $payload;
 }

 public static function urlsafeB64Decode(string $input)
 {
  $remainder = strlen($input) % 4;

  if ($remainder)
  {
   $padlen = 4 - $remainder;
   $input .= str_repeat('=', $padlen);
  }

  return base64_decode(strtr($input, '-_', '+/'));
 }
 
 
  public static function urlsafeB64Encode(string $input)
 {
  return str_replace('=', '', strtr(base64_encode($input), '+/', '-_'));
 }

JWT 在使用中的注意事項(xiàng)

使用了 JWT 我們一般都會考慮兩點(diǎn)：

1. 簽名是否正確？

2. Token是否到期？

這兩塊可以通過校驗(yàn)幾個(gè)字段來處理

1. 建立 token 吊銷機(jī)制，將 token 寫入數(shù)據(jù)庫，

2. 無效 token 因未入數(shù)據(jù)庫，所以確信傳入的 token 是有效的。

3. 對有效的 token 進(jìn)行簽名驗(yàn)證，獲取到 token 后重新生成簽名進(jìn)行校驗(yàn) token 的簽名部分( C 位的值)是否一致。

4. 確認(rèn)是否 token 超時(shí)可以通過 exp(expire 指定token的生命周期。unix時(shí)間戳格式) 和 nbf(not before。如果當(dāng)前時(shí)間在nbf里的時(shí)間之前，則Token不被接受。unix時(shí)間戳格式。) 聲明，獲取到 token 后，對時(shí)間進(jìn)行判斷。

5. 為了防止replay attack，可加上 iss(issuer 請求實(shí)體，可以是發(fā)起請求的用戶的信息，也可是jwt的簽發(fā)者。),jti (JWT ID。針對當(dāng)前token的唯一標(biāo)識) 和 iat(issued at。 token創(chuàng)建時(shí)間，unix時(shí)間戳格式) 聲明，然后獲取到 token 后，對聲明信息進(jìn)行匹配。

參考文章：

https://jwt.io/introduction/

http://www.dhdzp.com/article/146963.htm

總結(jié)

以上就是這篇文章的全部內(nèi)容了，希望本文的內(nèi)容對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值，如果有疑問大家可以留言交流，謝謝大家對腳本之家的支持。

您可能感興趣的文章: