PHP实现JWT的Token登录认证
1、JWT简介
JSON Web Token(缩写 JWT),是⽬前最流⾏的跨域认证解决⽅案。
session登录认证⽅案:⽤户从客户端传递⽤户名、密码等信息,服务端认证后将信息存储在session中,将session_id放到cookie中。
以后访问其他页⾯,⾃动从cookie中取到session_id,再从session中取认证信息。
另⼀类解决⽅案,将认证信息,返回给客户端,存储到客户端。下次访问其他页⾯,需要从客户端传递认证信息回服务端。
JWT就是这类⽅案的代表,将认证信息保存在客户端。
2、JWT 的原理
JWT 的原理是,服务器认证以后,⽣成⼀个 JSON格式的对象,发回给客户端,就像下⾯这样。
{
"⽤户名": "admin",
"⾓⾊": "超级管理员",
"到期时间": "2019-07-13 00:00:00"
}
以后,客户端与服务端通信的时候,都要发回这个 JSON 对象。服务器完全只靠这个对象认定⽤户⾝份。
为了防⽌⽤户篡改数据,服务器在⽣成这个对象的时候,会加上签名(详见后⽂)。
服务器不再保存任何 session 数据,也就是服务器变成⽆状态了,从⽽⽐较容易实现扩展。
3、JWT 的使⽤⽅式
客户端收到服务器返回的 JWT,可以储存在 Cookie ⾥⾯,也可以储存在 localStorage。
此后,客户端每次与服务器通信,都要带上这个 JWT。你可以把它放在 Cookie ⾥⾯⾃动发送,但是这样不能跨域,所以更好的做法是放在 HTTP 请求的头信息Authorization字段⾥⾯。Authorization: Bearer
<token>
另⼀种做法是,跨域的时候,JWT 就放在 POST 请求的数据体⾥⾯。
4、JWT 的⼏个特点
(1)JWT 默认是不加密,但也是可以加密的。⽣成原始 Token 以后,可以⽤密钥再加密⼀次。
(2)JWT 不加密的情况下,不能将秘密数据写⼊ JWT。
(3)JWT 不仅可以⽤于认证,也可以⽤于交换信息。有效使⽤ JWT,可以降低服务器查询数据库的次数。
(4)JWT 的最⼤缺点是,由于服务器不保存 session 状态,因此⽆法在使⽤过程中废⽌某个 token,或者更改 token 的权限。也就是说,⼀旦 JWT 签发了,在到期之前就会始终有效,除⾮服务器部署额外的逻辑。
(5)JWT 本⾝包含了认证信息,⼀旦泄露,任何⼈都可以获得该令牌的所有权限。为了减少盗⽤,JWT 的有效期应该设置得⽐较短。对于⼀些⽐较重要的权限,使⽤时应该再次对⽤户进⾏认证。
(6)为了减少盗⽤,JWT 不应该使⽤ HTTP 协议明码传输,要使⽤ HTTPS 协议传输。
5、功能实现
JWT功能组件php文章管理模块实例代码
使⽤composer安装 JWT 功能组件
composer require lcobucci/jwt 3.3
extend/tools/jwt/Token.php
<?php
namespace tools\jwt;
use Lcobucci\JWT\Builder;
use Lcobucci\JWT\Parser;
use Lcobucci\JWT\Signer\Hmac\Sha256;
use Lcobucci\JWT\ValidationData;
/
**
* Created by PhpStorm.
* User: asus
* Date: 2019/4/5
* Time: 13:02
*/
class Token
{
private static $_config = [
'audience' => 'www.pyg',//接收⼈
'id' => '3f2g57a92aa',//token的唯⼀标识,这⾥只是⼀个简单⽰例
'sign' => 'pinyougou',//签名密钥
'issuer' => 'adminapi.pyg',//签发⼈
'expire' => 3600*24 //有效期
];
//⽣成token
public static function getToken($user_id){
//签名对象
$signer = new Sha256();
//获取当前时间戳
$time = time();
//设置签发⼈、接收⼈、唯⼀标识、签发时间、⽴即⽣效、过期时间、⽤户id、签名
$token = (new Builder())->issuedBy(self::$_config['issuer'])
->canOnlyBeUsedBy(self::$_config['audience'])
->identifiedBy(self::$_config['id'], true)
->issuedAt($time)
->canOnlyBeUsedAfter($time-1)
->expiresAt($time + self::$_config['expire'])
->with('user_id', $user_id)
->sign($signer, self::$_config['sign'])
->getToken();
return (string)$token;
}
/
/从请求信息中获取token令牌
public static function getRequestToken()
{
if (empty($_SERVER['HTTP_AUTHORIZATION'])) {
return false;
}
$header = $_SERVER['HTTP_AUTHORIZATION'];
$method = 'bearer';
//去除token中可能存在的bearer标识
return trim(str_ireplace($method, '', $header));
}
/
/从token中获取⽤户id (包含token的校验)
public static function getUserId($token = null)
{
$user_id = null;
$token = empty($token)?self::getRequestToken():$token;
if (!empty($token)) {
//为了注销token 加以下if判断代码
$delete_token = cache('delete_token') ?: [];
if(in_array($token, $delete_token)){
//token已被删除(注销)
return $user_id;
}
$token = (new Parser())->parse((string) $token);
//验证token
$data = new ValidationData();
$data->setIssuer(self::$_config['issuer']);//验证的签发⼈
$data->setAudience(self::$_config['audience']);//验证的接收⼈
$data->setId(self::$_config['id']);//验证token标识
if (!$token->validate($data)) {
//token验证失败
return $user_id;
}
/
/验证签名
$signer = new Sha256();
if (!$token->verify($signer, self::$_config['sign'])) {
//签名验证失败
return $user_id;
}
//从token中获取⽤户id
$user_id = $token->getClaim('user_id');
}
return $user_id;
}
}
修改public/.htaccess⽂件,通过apache重写,处理HTTP请求中的Authorization字段
(不处理,php中接收不到HTTP_AUTHORAZATION字段信息)
RewriteCond %{HTTP:Authorization} ^(.+)$
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
测试:application/adminapi/controller/Index.php中index⽅法
静态调⽤封装的\tools\jwt\Token类的getToken⽅法,传递⼀个⽤户id值,⽣成token
静态调⽤封装的\tools\jwt\Token类的getUserId⽅法,传递⼀个token,获取⽤户id值
访问结果
到此这篇关于PHP实现JWT的Token登录认证的⽂章就介绍到这了。希望对⼤家的学习有所帮助,也希望⼤家多多⽀持。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论