JWT是什麼?對JWT的簡單認識
- 不言轉載
- 2018-10-10 17:09:215588瀏覽
本篇文章帶給大家的內容是關於JWT是什麼?對JWT的簡單認識,有一定的參考價值,有需要的朋友可以參考一下,希望對你有幫助。
一直沒有好好看過jwt,直到前兩天要做web驗證,朋友給我推薦了jwt。才發現jwt已經被大家廣泛的應用了。看來我有點out了。哈哈,趁著這個世界來好好看看這件事。
JWT(JSON Web Token), 顧名思義就是可以在Web上傳輸的token,這種token是用JSON格式進行format的。它是一個開源標準(RFC 7519),定義了一個緊湊的自包含的方式在不同實體之間安全的以JSON格式傳輸資訊。由於現在很多項目都是前後端分離,restful api模式。所以傳統的session模式就沒有辦法滿足認證需求,這時候jwt的作用就來了。可以說 restful api認證是jwt的一個很好的應用場景。
下面是一個很小的demo
<?php
require_once 'src/JWT.php';
header('Content-type:application/json');
//定义Key
const KEY = 'dasjdkashdwqe1213dsfsn;p';
$user = [
'uid'=>'dadsa-12312-vsd1s1-fsds',
'account'=>'daisc',
'password'=>'123456'
];
$redis = redis();
$action = $_GET['action'];
switch ($action)
{
case 'login':
login();
break;
case 'info':
info();
break;
}
//登陆,写入验证token
function login()
{
global $user;
$account = $_GET['account'];
$pwd = $_GET['password'];
$res = [];
if($account==$user['account']&&$pwd==$user['password'])
{
unset($user['password']);
$time = time();
$token = [
'iss'=>'http://test.cc',//签发者
'iat'=>$time,
'exp'=>$time+60,
'data'=>$user
];
$jwt = \Firebase\JWT\JWT::encode($token,KEY);
$res['code'] = 200;
$res['message'] = '登录成功';
$res['jwt'] = $jwt;
}
else
{
$res['message']= '用户名或密码错误';
$res['code'] = 401;
}
exit(json_encode($res));
}
function info()
{
$jwt = $_SERVER['HTTP_AUTHORIZATION'] ?? false;
$res['code'] = 200;
if($jwt)
{
$jwt = str_replace('Bearer ','',$jwt);
if(empty($jwt))
{
$res['code'] = 401;
$res['msg'] = 'You do not have permission to access.';
exit(json_encode($res));
}
try{
$token = (array) \Firebase\JWT\JWT::decode($jwt,KEY, ['HS256']);
if($token['exp']<time())
{
$res['code'] = 401;
$res['msg'] = '登录超时,请重新登录';
}
$res['data']= $token['data'];
}catch (\Exception $E)
{
$res['code'] = 401;
$res['msg'] = '登录超时,请重新登录.';
}
}
else
{
$res['code'] = 401;
$res['msg'] = 'You do not have permission to access.';
}
exit(json_encode($res));
}
//连接redis
function redis()
{
$redis = new Redis();
$redis->connect('127.0.0.1');
return $redis;
}這個dmeo裡面用jwt做了一個簡單的認證。 其中用到了一個php-jwt的加密套件https://github.com/firebase/php-jwt
其中KEY為定義的私鑰也就是jwt裡面的 sign部分,這個一定要保存好。
而header部分php-jwt套件裡面已經幫我們完成了,加密程式碼如下
*/
public static function encode($payload, $key, $alg = 'HS256', $keyId = null, $head = null)
{
$header = array('typ' => 'JWT', 'alg' => $alg);
if ($keyId !== null) {
$header['kid'] = $keyId;
}
if ( isset($head) && is_array($head) ) {
$header = array_merge($head, $header);
}
$segments = array();
$segments[] = static::urlsafeB64Encode(static::jsonEncode($header));
$segments[] = static::urlsafeB64Encode(static::jsonEncode($payload));
$signing_input = implode('.', $segments);
$signature = static::sign($signing_input, $key, $alg);
$segments[] = static::urlsafeB64Encode($signature);
return implode('.', $segments);
}
可以看出預設的加密的方式是HS256。這也是說jwt安全的原因。現階段HS256加密還是很安全的。
這個包裡面也支援憑證加密。
加密解密的過程這個包已經幫我們完成了。所以我們只需要定義jwt中的 poyload部分就可以了。也就是demo裡面的token部分。加密成功會得到一個加密的Jwt字串,下次前端在請求api的時候需要攜帶這個jwt字串作為認證。
在header頭裡面增加Authorization。在服務端驗證的時候回通過取得這個值來驗證回話的有效。
下面是poyload的一些常用配置
$token = [ #非必须。issuer 请求实体,可以是发起请求的用户的信息,也可是jwt的签发者。 "iss" => "http://example.org", #非必须。issued at。 token创建时间,unix时间戳格式 "iat" => $_SERVER['REQUEST_TIME'], #非必须。expire 指定token的生命周期。unix时间戳格式 "exp" => $_SERVER['REQUEST_TIME'] + 7200, #非必须。接收该JWT的一方。 "aud" => "http://example.com", #非必须。该JWT所面向的用户 "sub" => "jrocket@example.com", # 非必须。not before。如果当前时间在nbf里的时间之前,则Token不被接受;一般都会留一些余地,比如几分钟。 "nbf" => 1357000000, # 非必须。JWT ID。针对当前token的唯一标识 "jti" => '222we', # 自定义字段 "GivenName" => "Jonny", # 自定义字段 "name" => "Rocket", # 自定义字段 "Email" => "jrocket@example.com", ];
裡包含的配置可以自由配置,也可以自己添加一些其他的。這些都是網路上大家常用的,可以說是一種約定吧。
#以上是JWT是什麼?對JWT的簡單認識的詳細內容。更多資訊請關注PHP中文網其他相關文章!
陳述:
本文轉載於:segmentfault.com。如有侵權,請聯絡admin@php.cn刪除