php JWT在web端的使用方法

marser 發(fā)布于2019-06-27 16:53 / 1175人閱讀

摘要：基于的身份驗(yàn)證可以替代傳統(tǒng)的身份驗(yàn)證方法。該所面向的用戶非必須。。你也可以簡(jiǎn)單的使用，比如簡(jiǎn)單的方式。經(jīng)過(guò)和就可得到組成部分將和使用中指定的加密算法加密，當(dāng)然加密過(guò)程還需要自定秘鑰，自己選一個(gè)字符串就可以了。

解釋一下JWT

JWT就是一個(gè)字符串，經(jīng)過(guò)加密處理與校驗(yàn)處理的字符串，由三個(gè)部分組成。基于token的身份驗(yàn)證可以替代傳統(tǒng)的cookie+session身份驗(yàn)證方法。三個(gè)部分分別如下：

 header.payload.signature

header部分組成

header 格式為:

{
"typ":"JWT",
"alg":"HS256"
}

這就是一個(gè)json串，兩個(gè)字段都是必須的,alg字段指定了生成signature的算法，默認(rèn)值為 HS256,可以自己指定其他的加密算法，如RSA.經(jīng)過(guò)base64encode就可以得到 header.

payload 部分組成

playload 基本組成部分：

簡(jiǎn)單點(diǎn)：

$payload=[
            "iss" => $issuer, //簽發(fā)者
            "iat" => $_SERVER["REQUEST_TIME"], //什么時(shí)候簽發(fā)的
            "exp" => $_SERVER["REQUEST_TIME"] + 7200 //過(guò)期時(shí)間
            "uid"=>1111
        ];

復(fù)雜點(diǎn)：官方說(shuō)法,三個(gè)部分組成(Reserved claims，Public claims,Private claims)

 $token   = [
            #非必須。issuer 請(qǐng)求實(shí)體，可以是發(fā)起請(qǐng)求的用戶的信息，也可是jwt的簽發(fā)者。
            "iss"       => "http://example.org",
            #非必須。issued at。 token創(chuàng)建時(shí)間，unix時(shí)間戳格式
            "iat"       => $_SERVER["REQUEST_TIME"],
            #非必須。expire 指定token的生命周期。unix時(shí)間戳格式
            "exp"       => $_SERVER["REQUEST_TIME"] + 7200,
            #非必須。接收該JWT的一方。
            "aud"       => "http://example.com",
            #非必須。該JWT所面向的用戶
            "sub"       => "jrocket@example.com",
            # 非必須。not before。如果當(dāng)前時(shí)間在nbf里的時(shí)間之前，則Token不被接受；一般都會(huì)留一些余地，比如幾分鐘。
            "nbf"       => 1357000000,
            # 非必須。JWT ID。針對(duì)當(dāng)前token的唯一標(biāo)識(shí)
            "jti"       => "222we",
            # 自定義字段
            "GivenName" => "Jonny",
            # 自定義字段
            "name"   => "Rocket",
            # 自定義字段
            "Email"     => "jrocket@example.com",
         
        ];

payload 也是一個(gè)json數(shù)據(jù)，是表明用戶身份的數(shù)據(jù)，可以自己自定義字段，很靈活。你也可以簡(jiǎn)單的使用，比如簡(jiǎn)單的方式。經(jīng)過(guò)json_encode和base64_encode就可得到payload

signature組成部分

將 header和 payload使用header中指定的加密算法加密，當(dāng)然加密過(guò)程還需要自定秘鑰，自己選一個(gè)字符串就可以了。

官網(wǎng)實(shí)例：

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

自己使用：

 "JWT", "alg" => $alg])) . "." . self::urlsafeB64Encode(json_encode($payload));
        return $jwt . "." . self::signature($jwt, $key, $alg);
    }

   public static function signature(string $input, string $key, string $alg)
    {
        return hash_hmac($alg, $input, $key);
    }

這三個(gè)部分使用.連接起來(lái)就是高大上的JWT,然后就可以使用了.

JWT使用流程

官方使用流程說(shuō)明：

翻譯一下：

初次登錄：用戶初次登錄，輸入用戶名密碼

密碼驗(yàn)證：服務(wù)器從數(shù)據(jù)庫(kù)取出用戶名和密碼進(jìn)行驗(yàn)證

生成JWT：服務(wù)器端驗(yàn)證通過(guò)，根據(jù)從數(shù)據(jù)庫(kù)返回的信息，以及預(yù)設(shè)規(guī)則，生成JWT

返還JWT：服務(wù)器的HTTP RESPONSE中將JWT返還

帶JWT的請(qǐng)求：以后客戶端發(fā)起請(qǐng)求，HTTP REQUEST HEADER中的Authorizatio字段都要有值，為JWT

JWT 驗(yàn)證過(guò)程

因?yàn)樽约簩?xiě)的，沒(méi)有使用框架，所以還是得簡(jiǎn)單記錄一下驗(yàn)證過(guò)程

客戶端在請(qǐng)求頭中帶有JWT信息，后端獲取$_SERVER[HTTP_AUTHORIZATION]:

不過(guò)注意一點(diǎn)，我這個(gè)Authorization沒(méi)有加Bearer,官方使用中就使用了Bearer,你也可以自己使用：

Authorization: Bearer

php 驗(yàn)證偽代碼：

 $time)
            return false;

        if (isset($payload["exp"]) && $payload["exp"] < $time)
            return false;

        return $payload;
    }

 public static function urlsafeB64Decode(string $input)
    {
        $remainder = strlen($input) % 4;

        if ($remainder)
        {
            $padlen = 4 - $remainder;
            $input .= str_repeat("=", $padlen);
        }

        return base64_decode(strtr($input, "-_", "+/"));
    }
    
    
     public static function urlsafeB64Encode(string $input)
    {
        return str_replace("=", "", strtr(base64_encode($input), "+/", "-_"));
    }

參考文章：
https://jwt.io/introduction/
http://www.cnblogs.com/zjutzz...