当前位置:主页 > php教程 > PHP JWT初识及示例

PHP JWT基础知识及其简单示例

发布:2019-06-19 09:38:54 205


本站精选了一篇相关的编程文章,网友白英华根据主题投稿了本篇教程内容,涉及到PHP、JWT、基础知识、PHP JWT初识及示例相关内容,已被227网友关注,相关难点技巧可以阅读下方的电子资料。

PHP JWT初识及示例

一直没有好好看过jwt,直到前两天要做web验证,朋友给我推荐了jwt。才发现jwt已经被大家广泛的应用了。看来我有点out了。哈哈,趁着这个世界来好好看看这个。

JWT(JSON Web Token), 顾名思义就是可以在Web上传输的token,这种token是用JSON格式进行format的。它是一个开源标准(RFC 7519),定义了一个紧凑的自包含的方式在不同实体之间安全的用JSON格式传输信息。

由于现在很多项目都是前后端分离,restful api模式。所以传统的session模式就没有办法满足认证需求,这个时候jwt的作用就来了。可以说 restful api认证是jwt的一个很好的应用场景。

参数解释

 

名称 解释
iss (issuer) issuer 请求实体,可以是发起请求的用户的信息,也可是jwt的签发者
sub (Subject) 设置主题,类似于发邮件时的主题
aud (audience) 接收jwt的一方
exp (expire) token过期时间
nbf (not before) 当前时间在nbf设定时间之前,该token无法使用
iat (issued at) token创建时间
jti (JWT ID) 对当前token设置唯一标示

 

下面是一个很小的demo

<?php
require_once 'src/JWT.php';
header('Content-type:application/json');
//定义Key
const KEY = 'dasjdkashdwqe1213dsfsn;p';

$user = [
  'uid'=>'dadsa-12312-vsd1s1-fsds',
  'account'=>'daisc',
  'password'=>'123456'
];
$redis = redis();
$action = $_GET['action'];
switch ($action)
{
  case 'login':
    login();
    break;
  case 'info':
    info();
    break;

}
//登陆,写入验证token
function login()
{
  global $user;
  $account = $_GET['account'];
  $pwd = $_GET['password'];
  $res = [];
  if($account==$user['account']&&$pwd==$user['password'])
  {
    unset($user['password']);
    $time = time();
    $token = [
      'iss'=>'http://test.cc',//签发者
      'iat'=>$time,
      'exp'=>$time+60,
      'data'=>$user
    ];
    $jwt = \Firebase\JWT\JWT::encode($token,KEY);
    $res['code'] = 200;
    $res['message'] = '登录成功';
    $res['jwt'] = $jwt;

  }
  else
  {
    $res['message']= '用户名或密码错误';
    $res['code'] = 401;
  }
  exit(json_encode($res));
}

function info()
{
  $jwt = $_SERVER['HTTP_AUTHORIZATION'] ?? false;
  $res['code'] = 200;
  if($jwt)
  {
    $jwt = str_replace('Bearer ','',$jwt);
    if(empty($jwt))
    {
      $res['code'] = 401;
      $res['msg'] = 'You do not have permission to access.';
      exit(json_encode($res));
    }
    try{
      $token = (array) \Firebase\JWT\JWT::decode($jwt,KEY, ['HS256']);
      if($token['exp']<time())
      {
        $res['code'] = 401;
        $res['msg'] = '登录超时,请重新登录';
      }
      $res['data']= $token['data'];
    }catch (\Exception $E)
    {
      $res['code'] = 401;
      $res['msg'] = '登录超时,请重新登录.';
    }
  }
  else
  {
    $res['code'] = 401;
    $res['msg'] = 'You do not have permission to access.';
  }
  exit(json_encode($res));
}

//连接redis
function redis()
{
  $redis = new Redis();
  $redis->connect('127.0.0.1');
  return $redis;
}

这个dmeo里面用jwt做了一个简单的认证。 其中用到了一个php-jwt的加密包https://github.com/firebase/php-jwt

其中KEY为定义的私钥也就是jwt里面的 sign部分,这个一定要保存好。
而header部分php-jwt包里面已经帮我们完成了,加密代码如下

  public static function encode($payload, $key, $alg = 'HS256', $keyId = null, $head = null)
  {
    $header = array('typ' => 'JWT', 'alg' => $alg);
    if ($keyId !== null) {
      $header['kid'] = $keyId;
    }
    if ( isset($head) && is_array($head) ) {
      $header = array_merge($head, $header);
    }
    $segments = array();
    $segments[] = static::urlsafeB64Encode(static::jsonEncode($header));
    $segments[] = static::urlsafeB64Encode(static::jsonEncode($payload));
    $signing_input = implode('.', $segments);

    $signature = static::sign($signing_input, $key, $alg);
    $segments[] = static::urlsafeB64Encode($signature);

    return implode('.', $segments);
  }

可以看出默认的加密的方式是HS256。这也是说jwt安全的原因。现阶段HS256加密还是很安全的。
这个包里面也支持证书加密。

加密解密的过程这个包已经帮我们完成了。所以我们只需要定义jwt中的 poyload部分就可以了。也就是demo里面的token部分。加密成功会得到一个加密的Jwt字符串,下次前端在请求api的时候需要携带这个jwt字符串作为认证。
在header头里面增加Authorization。在服务端验证的时候回通过取得这个值来验证回话的有效。

下面是poyload的一些常用配置

 $token  = [
      #非必须。issuer 请求实体,可以是发起请求的用户的信息,也可是jwt的签发者。
      "iss"    => "http://example.org",
      #非必须。issued at。 token创建时间,unix时间戳格式
      "iat"    => $_SERVER['REQUEST_TIME'],
      #非必须。expire 指定token的生命周期。unix时间戳格式
      "exp"    => $_SERVER['REQUEST_TIME'] + 7200,
      #非必须。接收该JWT的一方。
      "aud"    => "http://example.com",
      #非必须。该JWT所面向的用户
      "sub"    => "jrocket@example.com",
      # 非必须。not before。如果当前时间在nbf里的时间之前,则Token不被接受;一般都会留一些余地,比如几分钟。
      "nbf"    => 1357000000,
      # 非必须。JWT ID。针对当前token的唯一标识
      "jti"    => '222we',
      # 自定义字段
      "GivenName" => "Jonny",
      # 自定义字段
      "name"  => "Rocket",
      # 自定义字段
      "Email"   => "jrocket@example.com",
     
    ];

里面包含的配置可以自由配置,也可以自己添加一些其他的。这些都是网上大家常用的,可以说是一种约定吧。

注意事项

关于jwt的使用大概就是这些。上面的代码在你使用的时候可能会出现两个问题:

1、命名空间错误
解决:不使用命名空间的话,使用require引入文件。如果使用命名空间出现错误,请检查命名空间的路径。

2、生成的token是一个对象
解决:(string)$token 将token强转成string


参考资料

相关文章

  • 实例分析PHP进行批量任务处理不超时的解决方案

    发布:2020-02-28

    这篇文章主要介绍了PHP进行批量任务处理不超时的解决方法,结合实例形式简单分析了php结合ajax进行异步处理实现批量任务不超时的相关技巧,需要的朋友可以参考下


  • ThinkPHP框架整合微信支付Native扫码支付实现方法

    发布:2019-07-08

    这篇文章主要介绍了ThinkPHP框架整合微信支付之Native 扫码支付模式一,结合图文形式详细分析了thinkPHP整合微信支付接口的扫码支付功能相关操作步骤、实现技巧与注意事项,需要的朋友可以参考


  • Java jwt使用公钥字符串验证解析token锁方法详解

    发布:2023-04-07

    关于java获取Token验证的问题相信很多人都遇见过,尤其是对刚接触微信开发的人来说确实有点棘手,下面这篇文章主要给大家介绍了关于Java中token验证解析的相关资料,需要的朋友可以参考下


  • ThinkPHP3.2框架操作Redis的方法实例

    发布:2019-08-03

    这篇文章主要介绍了ThinkPHP3.2框架操作Redis的方法,结合实例形式分析了thinkPHP3.2框架操作Redis数据库的原理及实现方法,需要的朋友可以参考下


  • 实例分析PHP面向对象继承用法(优化与减少代码重复)

    发布:2020-03-13

    这篇文章主要介绍了PHP面向对象继承用法,结合实例形式分析了php面向对象程序设计中继承的使用方法及代码优化处理与减少代码重复的相关操作技巧,需要的朋友可以参考下


  • PHP使用Pear进行安装和卸载包的实操方法

    发布:2019-11-07

    这篇文章主要介绍了PHP使用 Pear 进行安装和卸载包的方法,结合实例形式详细分析了php使用 Pear 安装及卸载扩展包的相关操作命令与使用技巧,需要的朋友可以参考下


  • 《PHP从入门到精通》PHP中的字符串(四)

    发布:2018-08-16

    PHP从入门到精通之PHP中的字符串 大家好,继续跟进PHP最详尽的知识更新,本周,跟大家重点讲一下PHP中字符串的使用。在PHP中,字符串是非常重要的一个概念,基本上大家想到的字符串的处理功能,系统都已有相关函数了。php自诞生之初,就是为web开发而来的,网站开发中,字符串处理,是php的一大亮点。 下面博主将带给详细的给大家介绍PHP中常用的字符串: 字符串三种声明方式


  • php解决DOM乱码的实例方法

    发布:2020-06-18

    最近在工作的时候遇到一个问题,在使用DOM的时候,发现了乱码的问题,后来通过查找网上的资料终于解决了,现在将解决的方法分享给大家,感兴趣的朋友们可以参考借鉴,有需要的朋友们下


网友讨论