一直没有好好看过jwt,直到前两天要做web验证,朋友给我推荐了jwt。才发现jwt已经被大家广泛的应用了。看来我有点out了。哈哈,趁着这个世界来好好看看这个。
JWT(JSON Web Token), 顾名思义就是可以在Web上传输的token,这种token是用JSON格式进行format的。它是一个开源标准(RFC 7519),定义了一个紧凑的自包含的方式在不同实体之间安全的用JSON格式传输信息。由于现在很多项目都是前后端分离,restful api模式。所以传统的session模式就没有办法满足认证需求,这个时候jwt的作用就来了。可以说 restful api认证是jwt的一个很好的应用场景。
下面是一个很小的demo
?phprequire_once src/JWT.php header( Content-type:application/json //定义Keyconst KEY = dasjdkashdwqe1213dsfsn;p $user = [ uid = dadsa-12312-vsd1s1-fsds , account = daisc , password = 123456 $redis = redis();$action = $_GET[ action switch ($action) case login : login(); break; case info : info(); break;//登陆,写入验证tokenfunction login() global $user; $account = $_GET[ account $pwd = $_GET[ password $res = []; if($account==$user[ account ] $pwd==$user[ password ]) unset($user[ password $time = time(); $token = [ iss = http://test.cc ,//签发者 iat = $time, exp = $time+60, data = $user $jwt = /Firebase/JWT/JWT::encode($token,KEY); $res[ code ] = 200; $res[ message ] = 登录成功 $res[ jwt ] = $jwt; else $res[ message ]= 用户名或密码错误 $res[ code ] = 401; exit(json_encode($res));
$token = (array) /Firebase/JWT/JWT::decode($jwt,KEY, [ HS256 if($token[ exp ] time()) $res[ code ] = 401; $res[ msg ] = 登录超时,请重新登录 $res[ data ]= $token[ data }catch (/Exception $E) $res[ code ] = 401; $res[ msg ] = 登录超时,请重新登录. else $res[ code ] = 401; $res[ msg ] = You do not have permission to access. exit(json_encode($res));
return $redis;}
这个dmeo里面用jwt做了一个简单的认证。 其中用到了一个php-jwt的加密包https://github.com/firebase/php-jwt
其中KEY为定义的私钥也就是jwt里面的 sign部分,这个一定要保存好。
而header部分php-jwt包里面已经帮我们完成了,加密代码如下
*/ html' target='_blank'>public static function encode($payload, $key, $alg = HS256 , $keyId = null, $head = null) $header = array( typ = JWT , alg = $alg); if ($keyId !== null) { $header[ kid ] = $keyId; if ( isset($head) is_array($head) ) { $header = array_merge($head, $header); $segments = array(); $segments[] = static::urlsafeB64Encode(static::jsonEncode($header)); $segments[] = static::urlsafeB64Encode(static::jsonEncode($payload)); $signing_input = implode( . , $segments); $signature = static::sign($signing_input, $key, $alg); $segments[] = static::urlsafeB64Encode($signature); return implode( . , $segments); }
可以看出默认的加密的方式是HS256。这也是说jwt安全的原因。现阶段HS256加密还是很安全的。
这个包里面也支持证书加密。
加密解密的过程这个包已经帮我们完成了。所以我们只需要定义jwt中的 poyload部分就可以了。也就是demo里面的token部分。加密成功会得到一个加密的Jwt字符串,下次前端在请求api的时候需要携带这个jwt字符串作为认证。
在header头里面增加Authorization。在服务端验证的时候回通过取得这个值来验证回话的有效。
下面是poyload的一些常用配置
$token = [ #非必须。issuer 请求实体,可以是发起请求的用户的信息,也可是jwt的签发者。 iss = http://example.org , #非必须。issued at。 token创建时间,unix时间戳格式 iat = $_SERVER[ REQUEST_TIME ], #非必须。expire 指定token的生命周期。unix时间戳格式 exp = $_SERVER[ REQUEST_TIME ] + 7200, #非必须。接收该JWT的一方。 aud = http://example.com , #非必须。该JWT所面向的用户 sub = jrocket@example.com , # 非必须。not before。如果当前时间在nbf里的时间之前,则Token不被接受;一般都会留一些余地,比如几分钟。 nbf = 1357000000, # 非必须。JWT ID。针对当前token的唯一标识 jti = 222we , # 自定义字段 GivenName = Jonny , # 自定义字段 name = Rocket , # 自定义字段 Email = jrocket@example.com , ];
里面包含的配置可以自由配置,也可以自己添加一些其他的。这些都是网上大家常用的,可以说是一种约定吧。
以上就是JWT是什么?对JWT的简单认识的详细内容,PHP教程
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。
新闻热点
疑难解答
