PHP JWT初识及其简单示例


Posted in PHP onOctober 10, 2018

一直没有好好看过jwt,直到前两天要做web验证,朋友给我推荐了jwt。才发现jwt已经被大家广泛的应用了。看来我有点out了。哈哈,趁着这个世界来好好看看这个。

JWT(JSON Web Token), 顾名思义就是可以在Web上传输的token,这种token是用JSON格式进行format的。它是一个开源标准(RFC 7519),定义了一个紧凑的自包含的方式在不同实体之间安全的用JSON格式传输信息。

由于现在很多项目都是前后端分离,restful api模式。所以传统的session模式就没有办法满足认证需求,这个时候jwt的作用就来了。可以说 restful api认证是jwt的一个很好的应用场景。

参数解释

名称 解释
iss (issuer) issuer 请求实体,可以是发起请求的用户的信息,也可是jwt的签发者
sub (Subject) 设置主题,类似于发邮件时的主题
aud (audience) 接收jwt的一方
exp (expire) token过期时间
nbf (not before) 当前时间在nbf设定时间之前,该token无法使用
iat (issued at) token创建时间
jti (JWT ID) 对当前token设置唯一标示

下面是一个很小的demo

<?php
require_once 'src/JWT.php';
header('Content-type:application/json');
//定义Key
const KEY = 'dasjdkashdwqe1213dsfsn;p';

$user = [
  'uid'=>'dadsa-12312-vsd1s1-fsds',
  'account'=>'daisc',
  'password'=>'123456'
];
$redis = redis();
$action = $_GET['action'];
switch ($action)
{
  case 'login':
    login();
    break;
  case 'info':
    info();
    break;

}
//登陆,写入验证token
function login()
{
  global $user;
  $account = $_GET['account'];
  $pwd = $_GET['password'];
  $res = [];
  if($account==$user['account']&&$pwd==$user['password'])
  {
    unset($user['password']);
    $time = time();
    $token = [
      'iss'=>'http://test.cc',//签发者
      'iat'=>$time,
      'exp'=>$time+60,
      'data'=>$user
    ];
    $jwt = \Firebase\JWT\JWT::encode($token,KEY);
    $res['code'] = 200;
    $res['message'] = '登录成功';
    $res['jwt'] = $jwt;

  }
  else
  {
    $res['message']= '用户名或密码错误';
    $res['code'] = 401;
  }
  exit(json_encode($res));
}

function info()
{
  $jwt = $_SERVER['HTTP_AUTHORIZATION'] ?? false;
  $res['code'] = 200;
  if($jwt)
  {
    $jwt = str_replace('Bearer ','',$jwt);
    if(empty($jwt))
    {
      $res['code'] = 401;
      $res['msg'] = 'You do not have permission to access.';
      exit(json_encode($res));
    }
    try{
      $token = (array) \Firebase\JWT\JWT::decode($jwt,KEY, ['HS256']);
      if($token['exp']<time())
      {
        $res['code'] = 401;
        $res['msg'] = '登录超时,请重新登录';
      }
      $res['data']= $token['data'];
    }catch (\Exception $E)
    {
      $res['code'] = 401;
      $res['msg'] = '登录超时,请重新登录.';
    }
  }
  else
  {
    $res['code'] = 401;
    $res['msg'] = 'You do not have permission to access.';
  }
  exit(json_encode($res));
}

//连接redis
function redis()
{
  $redis = new Redis();
  $redis->connect('127.0.0.1');
  return $redis;
}

这个dmeo里面用jwt做了一个简单的认证。 其中用到了一个php-jwt的加密包https://github.com/firebase/php-jwt

其中KEY为定义的私钥也就是jwt里面的 sign部分,这个一定要保存好。
而header部分php-jwt包里面已经帮我们完成了,加密代码如下

public static function encode($payload, $key, $alg = 'HS256', $keyId = null, $head = null)
  {
    $header = array('typ' => 'JWT', 'alg' => $alg);
    if ($keyId !== null) {
      $header['kid'] = $keyId;
    }
    if ( isset($head) && is_array($head) ) {
      $header = array_merge($head, $header);
    }
    $segments = array();
    $segments[] = static::urlsafeB64Encode(static::jsonEncode($header));
    $segments[] = static::urlsafeB64Encode(static::jsonEncode($payload));
    $signing_input = implode('.', $segments);

    $signature = static::sign($signing_input, $key, $alg);
    $segments[] = static::urlsafeB64Encode($signature);

    return implode('.', $segments);
  }

可以看出默认的加密的方式是HS256。这也是说jwt安全的原因。现阶段HS256加密还是很安全的。
这个包里面也支持证书加密。

加密解密的过程这个包已经帮我们完成了。所以我们只需要定义jwt中的 poyload部分就可以了。也就是demo里面的token部分。加密成功会得到一个加密的Jwt字符串,下次前端在请求api的时候需要携带这个jwt字符串作为认证。
在header头里面增加Authorization。在服务端验证的时候回通过取得这个值来验证回话的有效。

下面是poyload的一些常用配置

$token  = [
      #非必须。issuer 请求实体,可以是发起请求的用户的信息,也可是jwt的签发者。
      "iss"    => "http://example.org",
      #非必须。issued at。 token创建时间,unix时间戳格式
      "iat"    => $_SERVER['REQUEST_TIME'],
      #非必须。expire 指定token的生命周期。unix时间戳格式
      "exp"    => $_SERVER['REQUEST_TIME'] + 7200,
      #非必须。接收该JWT的一方。
      "aud"    => "http://example.com",
      #非必须。该JWT所面向的用户
      "sub"    => "jrocket@example.com",
      # 非必须。not before。如果当前时间在nbf里的时间之前,则Token不被接受;一般都会留一些余地,比如几分钟。
      "nbf"    => 1357000000,
      # 非必须。JWT ID。针对当前token的唯一标识
      "jti"    => '222we',
      # 自定义字段
      "GivenName" => "Jonny",
      # 自定义字段
      "name"  => "Rocket",
      # 自定义字段
      "Email"   => "jrocket@example.com",
     
    ];

里面包含的配置可以自由配置,也可以自己添加一些其他的。这些都是网上大家常用的,可以说是一种约定吧。

注意事项

关于jwt的使用大概就是这些。上面的代码在你使用的时候可能会出现两个问题:

1、命名空间错误
解决:不使用命名空间的话,使用require引入文件。如果使用命名空间出现错误,请检查命名空间的路径。

2、生成的token是一个对象
解决:(string)$token 将token强转成string

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持三水点靠木。

PHP 相关文章推荐
操作Oracle的php类
Oct 09 PHP
从Web查询数据库之PHP与MySQL篇
Sep 25 PHP
PHP中使用gettext来支持多语言的方法
May 02 PHP
PHP中file_exists函数不支持中文名的解决方法
Jul 26 PHP
PHP中通过fopen()函数访问远程文件示例
Nov 18 PHP
解析PHP的Yii框架中cookie和session功能的相关操作
Mar 17 PHP
yii2.0实现pathinfo的形式访问的配置方法
Apr 06 PHP
将PHP的session数据存储到数据库中的代码实例
Jun 24 PHP
浅谈Coreseek、Sphinx-for-chinaese、Sphinx+Scws的区别
Dec 15 PHP
PHP下 Mongodb 连接远程数据库的实例代码
Aug 30 PHP
phpstorm 正则匹配删除空行、注释行(替换注释行为空行)
Jan 21 PHP
用Laravel Sms实现laravel短信验证码的发送的实现
Nov 29 PHP
php-fpm.conf配置文件中文说明详解及重要参数说明
Oct 10 #PHP
php实现单笔转账到支付宝功能
Oct 09 #PHP
php实现小程序支付完整版
Oct 09 #PHP
php实现微信企业付款到个人零钱功能
Oct 09 #PHP
php实现构建排除当前元素的乘积数组方法
Oct 06 #PHP
php微信公众号开发之微信企业付款给个人
Oct 04 #PHP
PHP获取当前系统时间的方法小结
Oct 03 #PHP
You might like
详谈PHP文件目录基础操作
2014/11/11 PHP
ThinkPHP中redirect用法分析
2014/12/05 PHP
PHP中的traits实现代码复用使用实例
2015/05/13 PHP
浅谈PHP错误类型及屏蔽方法
2017/05/27 PHP
用Javascript实现UTF8编码转换成gb2312编码
2006/12/22 Javascript
基于jquery的tab切换 js原理
2010/04/01 Javascript
javascript客户端解决方案 缓存提供程序
2010/07/14 Javascript
在Ajax中使用Flash实现跨域数据读取的实现方法
2010/12/02 Javascript
jQuery的deferred对象使用详解
2011/08/20 Javascript
一个简单的网站访问JS计数器 刷新1次加1次访问
2012/09/20 Javascript
常用js字符串判断方法整理
2013/10/18 Javascript
jquery中使用循环下拉菜单示例代码
2014/09/24 Javascript
javascript继承的六大模式小结
2015/04/13 Javascript
10条建议帮助你创建更好的jQuery插件
2015/05/18 Javascript
判断数组是否包含某个元素的js函数实现方法
2016/05/19 Javascript
详解照片瀑布流效果(js,jquery分别实现与知识点总结)
2017/01/01 Javascript
微信小程序 form组件详解及简单实例
2017/01/10 Javascript
Node.js中多进程模块Cluster的介绍与使用
2017/05/27 Javascript
轻松搞定jQuery+JSONP跨域请求的解决方案
2018/03/06 jQuery
解决vue-cli + webpack 新建项目出错的问题
2018/03/20 Javascript
JS根据json数组多个字段排序及json数组常用操作
2019/06/06 Javascript
微信小程序引入Vant组件库过程解析
2019/08/06 Javascript
使用原生JS实现火锅点餐小程序(面向对象思想)
2019/12/10 Javascript
JavaScript大数相加相乘的实现方法实例
2020/10/18 Javascript
[28:57]EG vs VGJ.T 2018国际邀请赛小组赛BO2 第二场 8.16
2018/08/16 DOTA
使用python编写简单的小程序编译成exe跑在win10上
2018/01/15 Python
Django使用AJAX调用自己写的API接口的方法
2019/03/06 Python
使用Windows批处理和WMI设置Python的环境变量方法
2019/08/14 Python
浅析python内置模块collections
2019/11/15 Python
Python模块的定义,模块的导入,__name__用法实例分析
2020/01/07 Python
基于Django signals 信号作用及用法详解
2020/03/28 Python
Otticanet澳大利亚:最顶尖的世界名牌眼镜, 能得到打折季的价格
2018/08/23 全球购物
美国宠物护理专家:Revival Animal Health
2020/01/05 全球购物
草船借箭教学反思
2014/02/03 职场文书
合作经营协议书
2014/04/17 职场文书
看看如何用Python绘制小米新版天价logo
2021/04/20 Python