資訊專欄INFORMATION COLUMN
摘要:加密解密的過(guò)程這個(gè)包已經(jīng)幫我們完成了。指定的生命周期。該所面向的用戶非必須。。針對(duì)當(dāng)前的唯一標(biāo)識(shí)自定義字段自定義字段自定義字段里面包含的配置可以自由配置,也可以自己添加一些其他的。
一直沒(méi)有好好看過(guò)jwt,直到前兩天要做web驗(yàn)證,朋友給我推薦了jwt。才發(fā)現(xiàn)jwt已經(jīng)被大家廣泛的應(yīng)用了。看來(lái)我有點(diǎn)out了。哈哈,趁著這個(gè)世界來(lái)好好看看這個(gè)。
JWT(JSON Web Token), 顧名思義就是可以在Web上傳輸?shù)膖oken,這種token是用JSON格式進(jìn)行format的。它是一個(gè)開(kāi)源標(biāo)準(zhǔn)(RFC 7519),定義了一個(gè)緊湊的自包含的方式在不同實(shí)體之間安全的用JSON格式傳輸信息。
由于現(xiàn)在很多項(xiàng)目都是前后端分離,restful api模式。所以傳統(tǒng)的session模式就沒(méi)有辦法滿足認(rèn)證需求,這個(gè)時(shí)候jwt的作用就來(lái)了。可以說(shuō) restful api認(rèn)證是jwt的一個(gè)很好的應(yīng)用場(chǎng)景。
下面是一個(gè)很小的demo
"dadsa-12312-vsd1s1-fsds",
"account"=>"daisc",
"password"=>"123456"
];
$redis = redis();
$action = $_GET["action"];
switch ($action)
{
case "login":
login();
break;
case "info":
info();
break;
}
//登陸,寫入驗(yàn)證token
function login()
{
global $user;
$account = $_GET["account"];
$pwd = $_GET["password"];
$res = [];
if($account==$user["account"]&&$pwd==$user["password"])
{
unset($user["password"]);
$time = time();
$token = [
"iss"=>"http://test.cc",//簽發(fā)者
"iat"=>$time,
"exp"=>$time+60,
"data"=>$user
];
$jwt = FirebaseJWTJWT::encode($token,KEY);
$res["code"] = 200;
$res["message"] = "登錄成功";
$res["jwt"] = $jwt;
}
else
{
$res["message"]= "用戶名或密碼錯(cuò)誤";
$res["code"] = 401;
}
exit(json_encode($res));
}
function info()
{
$jwt = $_SERVER["HTTP_AUTHORIZATION"] ?? false;
$res["code"] = 200;
if($jwt)
{
$jwt = str_replace("Bearer ","",$jwt);
if(empty($jwt))
{
$res["code"] = 401;
$res["msg"] = "You do not have permission to access.";
exit(json_encode($res));
}
try{
$token = (array) FirebaseJWTJWT::decode($jwt,KEY, ["HS256"]);
if($token["exp"]connect("127.0.0.1");
return $redis;
}
這個(gè)dmeo里面用jwt做了一個(gè)簡(jiǎn)單的認(rèn)證。 其中用到了一個(gè)php-jwt的加密包https://github.com/firebase/php-jwt
其中KEY為定義的私鑰也就是jwt里面的 sign部分,這個(gè)一定要保存好。
而header部分php-jwt包里面已經(jīng)幫我們完成了,加密代碼如下
*/
public static function encode($payload, $key, $alg = "HS256", $keyId = null, $head = null)
{
$header = array("typ" => "JWT", "alg" => $alg);
if ($keyId !== null) {
$header["kid"] = $keyId;
}
if ( isset($head) && is_array($head) ) {
$header = array_merge($head, $header);
}
$segments = array();
$segments[] = static::urlsafeB64Encode(static::jsonEncode($header));
$segments[] = static::urlsafeB64Encode(static::jsonEncode($payload));
$signing_input = implode(".", $segments);
$signature = static::sign($signing_input, $key, $alg);
$segments[] = static::urlsafeB64Encode($signature);
return implode(".", $segments);
}
可以看出默認(rèn)的加密的方式是HS256。這也是說(shuō)jwt安全的原因。現(xiàn)階段HS256加密還是很安全的。
這個(gè)包里面也支持證書加密。
加密解密的過(guò)程這個(gè)包已經(jīng)幫我們完成了。所以我們只需要定義jwt中的 poyload部分就可以了。也就是demo里面的token部分。加密成功會(huì)得到一個(gè)加密的Jwt字符串,下次前端在請(qǐng)求api的時(shí)候需要攜帶這個(gè)jwt字符串作為認(rèn)證。
在header頭里面增加Authorization。在服務(wù)端驗(yàn)證的時(shí)候回通過(guò)取得這個(gè)值來(lái)驗(yàn)證回話的有效。
下面是poyload的一些常用配置
$token = [
#非必須。issuer 請(qǐng)求實(shí)體,可以是發(fā)起請(qǐng)求的用戶的信息,也可是jwt的簽發(fā)者。
"iss" => "http://example.org",
#非必須。issued at。 token創(chuàng)建時(shí)間,unix時(shí)間戳格式
"iat" => $_SERVER["REQUEST_TIME"],
#非必須。expire 指定token的生命周期。unix時(shí)間戳格式
"exp" => $_SERVER["REQUEST_TIME"] + 7200,
#非必須。接收該JWT的一方。
"aud" => "http://example.com",
#非必須。該JWT所面向的用戶
"sub" => "jrocket@example.com",
# 非必須。not before。如果當(dāng)前時(shí)間在nbf里的時(shí)間之前,則Token不被接受;一般都會(huì)留一些余地,比如幾分鐘。
"nbf" => 1357000000,
# 非必須。JWT ID。針對(duì)當(dāng)前token的唯一標(biāo)識(shí)
"jti" => "222we",
# 自定義字段
"GivenName" => "Jonny",
# 自定義字段
"name" => "Rocket",
# 自定義字段
"Email" => "jrocket@example.com",
];
里面包含的配置可以自由配置,也可以自己添加一些其他的。這些都是網(wǎng)上大家常用的,可以說(shuō)是一種約定吧。
對(duì)于jwt還有很多有疑問(wèn)的地方,下來(lái)在慢慢研究,比如續(xù)期以及退出的問(wèn)題
查看原文
文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請(qǐng)注明本文地址:http://m.specialneedsforspecialkids.com/yun/29492.html
摘要:框架具有輕便,開(kāi)源的優(yōu)點(diǎn),所以本譯見(jiàn)構(gòu)建用戶管理微服務(wù)五使用令牌和來(lái)實(shí)現(xiàn)身份驗(yàn)證往期譯見(jiàn)系列文章在賬號(hào)分享中持續(xù)連載,敬請(qǐng)查看在往期譯見(jiàn)系列的文章中,我們已經(jīng)建立了業(yè)務(wù)邏輯數(shù)據(jù)訪問(wèn)層和前端控制器但是忽略了對(duì)身份進(jìn)行驗(yàn)證。 重拾后端之Spring Boot(四):使用JWT和Spring Security保護(hù)REST API 重拾后端之Spring Boot(一):REST API的搭建...
摘要:基于的身份驗(yàn)證可以替代傳統(tǒng)的身份驗(yàn)證方法。例如可自定義示例如下該的簽發(fā)者簽發(fā)時(shí)間過(guò)期時(shí)間該時(shí)間之前不接收處理該面向的用戶該唯一標(biāo)識(shí)部分對(duì)應(yīng)的簽名為最終得到的的為說(shuō)明對(duì)和進(jìn)行編碼后進(jìn)行拼接。 JWT是什么 JWT是json web token縮寫。它將用戶信息加密到token里,服務(wù)器不保存任何用戶信息。服務(wù)器通過(guò)使用保存的密鑰驗(yàn)證token的正確性,只要正確即通過(guò)驗(yàn)證。基于token的...
摘要:今天我們來(lái)結(jié)合實(shí)例給大家講述的實(shí)戰(zhàn)應(yīng)用,就是如何使用前端與后端實(shí)現(xiàn)用戶登錄鑒權(quán)認(rèn)證的過(guò)程。只用了一個(gè)串,建立前后端的驗(yàn)證的數(shù)據(jù)傳遞,實(shí)現(xiàn)了有效的登錄鑒權(quán)過(guò)程。 今天我們來(lái)結(jié)合實(shí)例給大家講述JWT(Json Web Token)的實(shí)戰(zhàn)應(yīng)用,就是如何使用前端Axios與后端PHP實(shí)現(xiàn)用戶登錄鑒權(quán)認(rèn)證的過(guò)程。 文中涉及的重要知識(shí)點(diǎn): axios異步請(qǐng)求:axios-基于Promise的HTT...
摘要:默認(rèn)的時(shí)間為周。大概意思就是如果用戶有一個(gè),那么他可以帶著他的過(guò)來(lái)領(lǐng)取新的,直到周的時(shí)間后,他便無(wú)法繼續(xù)刷新了,需要重新登錄。指定在刷新令牌時(shí)要保留的聲明密鑰。為了使令牌無(wú)效,您必須啟用黑名單。指定用于對(duì)用戶進(jìn)行身份驗(yàn)證的提供程序。 showImg(https://segmentfault.com/img/remote/1460000012606251?w=1920&h=1280); ...
摘要:最近項(xiàng)目做認(rèn)證,最終技術(shù)選型決定使用,項(xiàng)目框架使用的是,使用有比較方便使用的開(kāi)源包。使用安裝,使用的框架版本為,最新穩(wěn)定版本為。 最近項(xiàng)目做API認(rèn)證,最終技術(shù)選型決定使用JWT,項(xiàng)目框架使用的是laravel,laravel使用JWT有比較方便使用的開(kāi)源包:jwt-auth。 使用composer安裝jwt-auth,laravel使用的框架版本為5.0,jwt-auth最新穩(wěn)定版本...
閱讀 861·2021-10-25 09:48
閱讀 622·2021-08-23 09:45
閱讀 2512·2019-08-30 15:53
閱讀 1768·2019-08-30 12:45
閱讀 622·2019-08-29 17:21
閱讀 3429·2019-08-27 10:56
閱讀 2560·2019-08-26 13:48
閱讀 705·2019-08-26 12:24
