Vollständige Aufzeichnung des tatsächlichen Simulationsprozesses der JWT-Anmeldeauthentifizierung

Nach sorgfältiger Zusammenstellung durch den PHP-Editor Banana stellen wir Ihnen eine beliebte vollständige Aufzeichnung des tatsächlichen Entwicklungssimulationsprozesses vor – die tatsächliche Simulation der JWT-Anmeldeauthentifizierung. JWT (JSON Web Token) ist ein offener Standard für die Authentifizierung. Er generiert ein Token (Token), nachdem sich der Benutzer erfolgreich angemeldet hat, und der Benutzer trägt dieses Token in nachfolgenden Anfragen zur Identitätsauthentifizierung mit. Dieser Artikel bietet eine detaillierte Analyse des Implementierungsprozesses der JWT-Anmeldeauthentifizierung und eine umfassende praktische Demonstrationsaufzeichnung. Dabei bringen wir Ihnen das Verständnis der Prinzipien von JWT und deren Anwendung in der tatsächlichen Entwicklung näher. Egal, ob Sie Einsteiger oder erfahrener Entwickler sind, in diesem Artikel können Sie wertvolles Wissen und praktische Erfahrungen sammeln.

Token-Authentifizierungsprozess

• JWT (JSON WEB Token) ist bei Entwicklern sehr beliebt. Der Hauptprozess ist wie folgt:
Der Kunde sendet die Kontonummer und Passwort Anmeldeanfrage
• Der Server empfängt die Anfrage und überprüft, ob das Kontopasswort gültig ist
• Nach erfolgreicher Überprüfung generiert der Server ein eindeutiges Token und sendet es an den Client zurück
• Der Client empfängt das Token und speichert es in ein Cookie oder Jedes Mal, wenn der Client nach
• in localStroge eine Anfrage an den Server sendet, wird das Token über das Cookie oder den Header übertragen
• Der Server überprüft die Gültigkeit des Tokens und gibt die Antwortdaten erst zurück, nachdem er es übergeben hat

Token-Authentifizierungsvorteile

Unterstützung für domänenübergreifenden Zugriff: Dies gilt nicht für den Token-Mechanismus. Voraussetzung ist, dass die übertragenen Benutzerauthentifizierungsinformationen über
• Http übertragen werden Header.
Stateless: Der Token-Mechanismus muss nicht auf der Serverseite gespeichert werden, da der Token selbst die Informationen aller angemeldeten Benutzer enthält, sondern nur die Statusinformationen im Cookie des Clients gespeichert werden müssen Lokale Medien
• Breitere Anwendbarkeit: Solange der Client das http-Protokoll unterstützt, kann die Token-Authentifizierung verwendet werden.
• CSRF muss nicht berücksichtigt werden: Da es nicht mehr auf Cookies basiert, erfolgt bei Verwendung der Token-Authentifizierung kein CSRF, sodass keine CSRF-Verteidigung berücksichtigt werden muss. JWT-Struktur. Ein JWT ist eigentlich ein String Es besteht aus drei Teilen: Header, Nutzlast und Signatur. Verwenden Sie einen Punkt in der Mitte, um es in drei Teile zu teilen. Beachten Sie, dass es im JWT keine Zeilenumbrüche gibt.

?
• Header/Header
header besteht aus zwei Teilen: token Typ JWT und

Algorithmus

Name: H<br>Mac

, SHA256, RSA

{
"alg": "HS256",
"typ": "JWT"
}

?

Payload/ Payload

header 由两部分组成： token 的类型 JWT 和算法名称：H<strong class="keylink">Mac</strong>、SHA256、RSA

{
"iss": "xxxxxxx",
"sub": "xxxxxxx",
"aud": "xxxxxxx",
"user": [
	'username': '极客飞兔',
	'gender': 1,
	'nickname': '飞兔小哥' 
 ] 
}

? 载荷 / Payload

Payload 部分也是一个 <strong class="keylink">js</strong>ON 对象，用来存放实际需要传递的数据。JWT 指定七个默认字段供选择。

除了默认字段之外，你完全可以添加自己想要的任何字段，一般用户登录成功后，就将用户信息存放在这里

iss：发行人
exp：到期时间
sub：主题
aud：用户
nbf：在此之前不可用
iat：发布时间
jti：JWT ID用于标识该JWT

// 其中secret 是密钥
String signature = HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)

• ? 签名 / Signature
• 签名部分是对上面的 头部、载荷 两部分数据进行的数据签名
• 为了保证数据不被篡改，则需要指定一个密钥，而这个密钥一般只有你知道，并且存放在服务端
• 生成签名的代码一般如下：

fetch('license/login', {
	headers: {
		'Authorization': 'X-TOKEN' + token
	}
})

JWT 基本使用

• 客户端收到服务器返回的 JWT，可以储存在 Cookie 里面， 也可以储存在 localStorage
• 然后 客户端每次与服务器通信，都要带上这个 JWT
• 把 JWT 保存在 Cookie 里面发送请求，这样不能跨域
• 更好的做法是放在 HTTP 请求的头信息 Authorization 字段里面

composer require firebase/php-jwt

实战：使用 JWT 登录认证

这里使用 Think<strong class="keylink">PHP</strong>6 整合 JWT 登录认证进行实战模拟

? 安装 JWT 扩展

<?php


namespace app\services;

use app\Helper;
use Firebase\JWT\JWT;
use Firebase\JWT\Key;

class JwtService
{
protected $salt;

public function __construct()
{
//从配置信息这种或取唯一字符串，你可以随便写比如md5(&#39;token&#39;)
$this->salt = config(&#39;jwt.salt&#39;) || "autofelix";
}

// jwt生成
public function generateToken($user)
{
$data = array(
"iss" => &#39;autofelix&#39;,//签发者 可以为空
"aud" => &#39;autofelix&#39;, //面象的用户，可以为空
"iat" => Helper::getTimestamp(), //签发时间
"nbf" => Helper::getTimestamp(), //立马生效
"exp" => Helper::getTimestamp() + 7200, //token 过期时间 两小时
"user" => [ // 记录用户信息
&#39;id&#39; => $user->id,
&#39;username&#39; => $user->username,
&#39;truename&#39; => $user->truename,
&#39;phone&#39; => $user->phone,
&#39;email&#39; => $user->email,
&#39;role_id&#39; => $user->role_id
]
);
$jwt = JWT::encode($data, md5($this->salt), &#39;HS256&#39;);
return $jwt;
}

// jwt解密
public function chekToken($token)
{
JWT::$leeway = 60; //当前时间减去60，把时间留点余地
$decoded = JWT::decode($token, new Key(md5($this->salt), &#39;HS256&#39;));
return $decoded;
}
}

? 封装生成 JWT 和解密方法

<?php
declare (strict_types=1);

namespace app\controller;

use think\Request;
use app\ResponseCode;
use app\Helper;
use app\model\User as UserModel;
use app\services\JwtService;

class License
{
public function login(Request $request)
{
$data = $request->only([&#39;username&#39;, &#39;passWord&#39;, &#39;code&#39;]);

// ....进行验证的相关逻辑...
$user = UserModel::where(&#39;username&#39;, $data[&#39;username&#39;])->find();
		
		// 验证通过生成 JWT, 返回给前端保存
$token = (new JwtService())->generateToken($user);

return json([
&#39;code&#39; => ResponseCode::SUCCESS,
&#39;message&#39; => &#39;登录成功&#39;,
&#39;data&#39; => [
&#39;token&#39; => $token
]
]);
}
}

? 用户登录后，生成 JWT 标识

<?php
// 全局中间件定义文件
return [
	// ...其他中间件
// JWT验证
\app\middleware\Auth::class
];

? 中间件验证用户是否登录

在 middleware.phpPayloadDer > Teil ist auch ein js

ON-Objekt, das zum Speichern der tatsächlichen Daten verwendet wird, die übertragen werden müssen. JWT gibt sieben Standardfelder zur Auswahl an.

Zusätzlich zu den Standardfeldern können Sie beliebige Felder hinzufügen. Nachdem sich ein Benutzer erfolgreich angemeldet hat, werden die Benutzerinformationen im Allgemeinen hier gespeichert

🎜iss: Aussteller 🎜exp: Ablaufzeit🎜sub: Topic 🎜aud: Benutzer 🎜nbf: Vorher nicht verfügbar 🎜iat: Veröffentlichungszeit 🎜jti: JWT-ID zur Identifizierung dieses JWT 🎜

🎜

<?php
declare (strict_types=1);

namespace app\middleware;

use app\ResponseCode;
use app\services\JwtService;

class Auth
{
private $router_white_list = [&#39;login&#39;];

public function handle($request, \Closure $next)
{
if (!in_array($request->pathinfo(), $this->router_white_list)) {
$token = $request->header(&#39;token&#39;);

try {
	// jwt 验证
$jwt = (new JwtService())->chekToken($token);
} catch (\Throwable $e) {
return json([
&#39;code&#39; => ResponseCode::ERROR,
&#39;msg&#39; => &#39;Token验证失败&#39;
]);
}

$request->user = $jwt->user;
}

return $next($request);
}
}

🎜🎜? 🎜Signatur/Signatur 🎜🎜🎜Der Signaturteil befindet sich direkt über den Daten Signatur der Header- und Payload-Teile 🎜🎜Um sicherzustellen, dass die Daten nicht manipuliert werden, müssen Sie einen Schlüssel angeben. Dieser Schlüssel ist im Allgemeinen nur Ihnen bekannt und wird auf dem Server gespeichert 🎜🎜Der Code zum Generieren des Die Signatur lautet im Allgemeinen wie folgt: 🎜🎜🎜rrreee🎜JWT Grundlegende Verwendung🎜🎜🎜Der Client erhält das vom Server zurückgegebene JWT🎜, das in einem Cookie oder im lokalen Speicher gespeichert werden kann🎜🎜Dann muss der Client dies bei jeder Kommunikation mitbringen mit dem Server-JWT🎜🎜Speichern Sie JWT in Cookie, um die Anfrage zu senden, damit sie nicht domänenübergreifend sein kann🎜🎜Eine bessere Möglichkeit besteht darin, es in das Autorisierungsfeld der Header-Informationen der HTTP-Anfrage einzufügen🎜🎜🎜rrreee🎜Praktischer Kampf: Verwenden JWT-Anmeldeauthentifizierung🎜🎜Verwenden Sie Think🎜PHP🎜6 integriert die JWT-Anmeldeauthentifizierung für eine praktische Simulation🎜🎜? 🎜JWT-Erweiterung installieren🎜🎜🎜rrreee🎜? Generierungs- und Entschlüsselungsmethode🎜🎜🎜rrreee🎜 🎜Nachdem sich der Benutzer angemeldet hat, eine JWT-Identifikation generieren🎜🎜🎜rrreee🎜? 🎜Middleware überprüft, ob der Benutzer angemeldet ist🎜🎜🎜Registrieren Sie die 🎜Middleware in middleware.php 🎜🎜🎜rrreee🎜Verbessern Sie nach der Registrierung der Middleware die Überprüfungslogik in der Berechtigungsüberprüfungs-Middleware🎜

<?php
declare (strict_types=1);

namespace app\middleware;

use app\ResponseCode;
use app\services\JwtService;

class Auth
{
private $router_white_list = [&#39;login&#39;];

public function handle($request, \Closure $next)
{
if (!in_array($request->pathinfo(), $this->router_white_list)) {
$token = $request->header(&#39;token&#39;);

try {
	// jwt 验证
$jwt = (new JwtService())->chekToken($token);
} catch (\Throwable $e) {
return json([
&#39;code&#39; => ResponseCode::ERROR,
&#39;msg&#39; => &#39;Token验证失败&#39;
]);
}

$request->user = $jwt->user;
}

return $next($request);
}
}

附：为什么使用jwt而不使用session

• session是将客户端数据储存在服务器的内存，当客服端的数据过多，服务器的内存开销大；
• session的数据储存在某台服务器，在分布式的项目中无法做到共享；
• jwt的安全性更好。

总而言之，如果使用了分布式，切只能在session和jwt里面选的时候，就一定要选jwt。

Das obige ist der detaillierte Inhalt vonVollständige Aufzeichnung des tatsächlichen Simulationsprozesses der JWT-Anmeldeauthentifizierung. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!