JWT 로그인 인증의 실제 시뮬레이션 과정을 모두 기록합니다.

PHP 편집자 Banana가 세심하게 편집한 후 인기 있는 실제 개발 시뮬레이션 프로세스 전체 기록인 JWT 로그인 인증 실제 시뮬레이션을 소개합니다. JWT(JSON 웹 토큰)는 인증을 위한 개방형 표준으로, 사용자가 성공적으로 로그인한 후 토큰(토큰)을 생성하고 사용자는 이후 신원 인증 요청 시 이 토큰을 전달합니다. 이 글에서는 JWT 로그인 인증 구현 과정을 심층적으로 분석하고, 그 과정에서 JWT의 원리와 실제 개발에 적용하는 방법에 대해 포괄적이고 실용적인 데모 녹음을 제공할 것입니다. 초보자이든 숙련된 개발자이든 이 기사를 통해 귀중한 지식과 실제 경험을 얻을 수 있습니다.

토큰 인증 프로세스

• 가장 널리 사용되는 도메인 간 인증 솔루션인 JWT(JSON WEB 토큰)는 개발자들에게 큰 사랑을 받고 있습니다. 주요 프로세스는 다음과 같습니다.
클라이언트가 계정 번호를 보냅니다. 및 비밀번호 로그인 요청
• 서버는 요청을 받고 계정 비밀번호가 통과되었는지 확인합니다
• 확인에 성공한 후 서버는 고유한 토큰을 생성하여 클라이언트에게 반환합니다
• 클라이언트는 토큰을 받아 저장합니다 쿠키 또는 localStroge에서
• 이후 클라이언트가 서버에 요청을 보낼 때마다 토큰은 쿠키 또는 헤더를 통해 전달됩니다.
• 서버는 토큰의 유효성을 확인하고 전달된 후에만 응답 데이터를 반환합니다.

토큰 인증 장점

교차 도메인 액세스 지원: 쿠키는 토큰 메커니즘에는 존재하지 않습니다. 전송된 사용자 인증 정보는
• 를 통해 전송됩니다. Http 헤더.
상태 비저장: 토큰 자체에는 로그인한 모든 사용자의 정보가 포함되어 있으므로 토큰 메커니즘은 서버 측 세션 정보에 저장할 필요가 없으며 상태 정보만 클라이언트의 헤더에 저장하면 됩니다. 쿠키 또는 로컬 미디어
• 더 넓은 적용 가능성: 클라이언트가 http 프로토콜을 지원하는 한 토큰 인증을 사용할 수 있습니다.
• CSRF를 고려할 필요 없음: 더 이상 쿠키에 의존하지 않으므로 토큰 인증을 사용할 때 CSRF가 발생하지 않으므로 CSRF 방어를 고려할 필요가 없습니다.

JWT 구조

A JWT는 실제로
• 문자열입니다. , 그것은 헤더, 페이로드, 서명의 세 부분으로 구성됩니다. 가운데 점을 사용하여 세 부분으로 분리하세요. JWT 내부에는 줄 바꿈이 없습니다.

?

Header/header

header는 token 유형 JWT 및

algorithmheader 由两部分组成： token 的类型 JWT 和算法名称：H<strong class="keylink">Mac</strong>、SHA256、RSA

{
"alg": "HS256",
"typ": "JWT"
}

? 载荷 / Payload

Payload 部分也是一个 <strong class="keylink">js</strong>ON 对象，用来存放实际需要传递的数据。JWT 指定七个默认字段供选择。

除了默认字段之外，你完全可以添加自己想要的任何字段，一般用户登录成功后，就将用户信息存放在这里

iss：发行人
exp：到期时间
sub：主题
aud：用户
nbf：在此之前不可用
iat：发布时间
jti：JWT ID用于标识该JWT

{
"iss": "xxxxxxx",
"sub": "xxxxxxx",
"aud": "xxxxxxx",
"user": [
	'username': '极客飞兔',
	'gender': 1,
	'nickname': '飞兔小哥' 
 ] 
}

• ? 签名 / Signature
• 签名部分是对上面的 头部、载荷 两部分数据进行的数据签名
• 为了保证数据不被篡改，则需要指定一个密钥，而这个密钥一般只有你知道，并且存放在服务端
• 生成签名的代码一般如下：

// 其中secret 是密钥
String signature = HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)

JWT 基本使用

• 客户端收到服务器返回的 JWT，可以储存在 Cookie 里面， 也可以储存在 localStorage
• 然后 客户端每次与服务器通信，都要带上这个 JWT
• 把 JWT 保存在 Cookie 里面发送请求，这样不能跨域
• 更好的做法是放在 HTTP 请求的头信息 Authorization 字段里面

fetch('license/login', {
	headers: {
		'Authorization': 'X-TOKEN' + token
	}
})

实战：使用 JWT 登录认证

这里使用 Think<strong class="keylink">PHP</strong>6 整合 JWT 登录认证进行实战模拟

? 安装 JWT 扩展

composer require firebase/php-jwt

? 封装生成 JWT 和解密方法

<?php


namespace app\services;

use app\Helper;
use Firebase\JWT\JWT;
use Firebase\JWT\Key;

class JwtService
{
protected $salt;

public function __construct()
{
//从配置信息这种或取唯一字符串，你可以随便写比如md5(&#39;token&#39;)
$this->salt = config(&#39;jwt.salt&#39;) || "autofelix";
}

// jwt生成
public function generateToken($user)
{
$data = array(
"iss" => &#39;autofelix&#39;,//签发者 可以为空
"aud" => &#39;autofelix&#39;, //面象的用户，可以为空
"iat" => Helper::getTimestamp(), //签发时间
"nbf" => Helper::getTimestamp(), //立马生效
"exp" => Helper::getTimestamp() + 7200, //token 过期时间 两小时
"user" => [ // 记录用户信息
&#39;id&#39; => $user->id,
&#39;username&#39; => $user->username,
&#39;truename&#39; => $user->truename,
&#39;phone&#39; => $user->phone,
&#39;email&#39; => $user->email,
&#39;role_id&#39; => $user->role_id
]
);
$jwt = JWT::encode($data, md5($this->salt), &#39;HS256&#39;);
return $jwt;
}

// jwt解密
public function chekToken($token)
{
JWT::$leeway = 60; //当前时间减去60，把时间留点余地
$decoded = JWT::decode($token, new Key(md5($this->salt), &#39;HS256&#39;));
return $decoded;
}
}

? 用户登录后，生成 JWT 标识

<?php
declare (strict_types=1);

namespace app\controller;

use think\Request;
use app\ResponseCode;
use app\Helper;
use app\model\User as UserModel;
use app\services\JwtService;

class License
{
public function login(Request $request)
{
$data = $request->only([&#39;username&#39;, &#39;passWord&#39;, &#39;code&#39;]);

// ....进行验证的相关逻辑...
$user = UserModel::where(&#39;username&#39;, $data[&#39;username&#39;])->find();
		
		// 验证通过生成 JWT, 返回给前端保存
$token = (new JwtService())->generateToken($user);

return json([
&#39;code&#39; => ResponseCode::SUCCESS,
&#39;message&#39; => &#39;登录成功&#39;,
&#39;data&#39; => [
&#39;token&#39; => $token
]
]);
}
}

? 中间件验证用户是否登录

在 middleware.php의 두 부분으로 구성됩니다. H<strong class="keylink">Mac</strong>, SHA256, RSA

<?php
// 全局中间件定义文件
return [
	// ...其他中间件
// JWT验证
\app\middleware\Auth::class
];

?

Payload/ Payload🎜🎜🎜페이로드 부분은 전송해야 하는 실제 데이터를 저장하는 데 사용되는 🎜js🎜ON 개체이기도 합니다. JWT는 선택할 수 있는 7개의 기본 필드를 지정합니다. 🎜🎜기본 필드 외에 원하는 필드를 추가할 수 있습니다. 일반적으로 사용자가 성공적으로 로그인하면 사용자 정보가 여기에 저장됩니다.🎜

🎜iss: 발급자 🎜exp: 만료 시간🎜sub: Topic 🎜aud: 사용자 🎜nbf: 이전에는 사용할 수 없음 🎜iat: 릴리스 시간 🎜jti: 이 JWT를 식별하는 데 사용되는 JWT ID 🎜

🎜

<?php
declare (strict_types=1);

namespace app\middleware;

use app\ResponseCode;
use app\services\JwtService;

class Auth
{
private $router_white_list = [&#39;login&#39;];

public function handle($request, \Closure $next)
{
if (!in_array($request->pathinfo(), $this->router_white_list)) {
$token = $request->header(&#39;token&#39;);

try {
	// jwt 验证
$jwt = (new JwtService())->chekToken($token);
} catch (\Throwable $e) {
return json([
&#39;code&#39; => ResponseCode::ERROR,
&#39;msg&#39; => &#39;Token验证失败&#39;
]);
}

$request->user = $jwt->user;
}

return $next($request);
}
}

🎜🎜? 🎜Signature/Signature🎜🎜🎜서명 부분은 데이터 바로 위에 있습니다. 헤더 및 페이로드 부분에 대한 서명 🎜🎜데이터가 변조되지 않도록 키를 지정해야 하며, 이 키는 일반적으로 본인만 알고 서버에 저장됩니다. 🎜🎜 서명은 일반적으로 다음과 같습니다. 🎜🎜🎜rrreee🎜JWT 기본 사용🎜🎜🎜클라이언트는 서버가 반환한 JWT를🎜 수신하며, 이 JWT는 쿠키나 localStorage에 저장될 수 있습니다🎜🎜클라이언트는 통신할 때마다 이를 가져와야 합니다. 서버 JWT🎜🎜JWT를 쿠키에 저장하여 요청을 보내면 도메인을 넘을 수 없습니다🎜🎜더 좋은 방법은 HTTP 요청 헤더 정보의 Authorization 필드에 이를 넣는 것입니다🎜🎜🎜rrreee🎜실전적인 전투: 사용 JWT 로그인 인증🎜🎜여기에서 Think🎜PHP🎜6를 사용하여 실제 시뮬레이션을 위해 JWT 로그인 인증을 통합하세요🎜🎜? 🎜JWT 확장 프로그램을 설치하세요🎜🎜🎜rrreee🎜? 생성 및 복호화 방법🎜🎜🎜rrreee🎜? 🎜사용자가 로그인한 후 JWT ID를 생성합니다🎜🎜🎜rrreee🎜? 🎜미들웨어는 사용자가 로그인했는지 확인합니다🎜🎜🎜미들웨어를 middleware.php에 등록합니다. 🎜🎜🎜rrreee🎜미들웨어 등록 후, 권한 확인 미들웨어의 확인 로직 개선🎜

<?php
declare (strict_types=1);

namespace app\middleware;

use app\ResponseCode;
use app\services\JwtService;

class Auth
{
private $router_white_list = [&#39;login&#39;];

public function handle($request, \Closure $next)
{
if (!in_array($request->pathinfo(), $this->router_white_list)) {
$token = $request->header(&#39;token&#39;);

try {
	// jwt 验证
$jwt = (new JwtService())->chekToken($token);
} catch (\Throwable $e) {
return json([
&#39;code&#39; => ResponseCode::ERROR,
&#39;msg&#39; => &#39;Token验证失败&#39;
]);
}

$request->user = $jwt->user;
}

return $next($request);
}
}

附：为什么使用jwt而不使用session

• session是将客户端数据储存在服务器的内存，当客服端的数据过多，服务器的内存开销大；
• session的数据储存在某台服务器，在分布式的项目中无法做到共享；
• jwt的安全性更好。

总而言之，如果使用了分布式，切只能在session和jwt里面选的时候，就一定要选jwt。

위 내용은 JWT 로그인 인증의 실제 시뮬레이션 과정을 모두 기록합니다.의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!