首頁 >後端開發 >PHP問題 >token PHP使用方法是什麼

token PHP使用方法是什麼

藏色散人
藏色散人原創
2021-09-21 09:21:512893瀏覽

PHP中token的使用方法:1、客戶端使用者輸入使用者名稱密碼後執行登錄,請求token;2、使用JWT這種規範,進行產生token;3、驗證token的時效性;4 、客戶端拿token請求資料。

token PHP使用方法是什麼

本文操作環境:windows7系統、PHP7.1版、Dell G3電腦。

token PHP使用方法是什麼?

php token的生成與使用

1. 為什麼要使用tokent進行登入

前後端分離或為了支援多個web應用,那麼原來的cookies或者session在使用上就會有很大的問題
cookie和session認證需要在同一主域名下才可以進行認證(目前可以把session存儲在redis內進行解決)。

2. 解決方案

oauth2 和 jwt

jwt :是一種安全標準。基本想法就是使用者提供使用者名稱和密碼給認證伺服器,伺服器驗證使用者提交資訊資訊的合法性;如果驗證成功,會產生並傳回一個token(令牌)
OAuth2 :是一個安全的授權框架。它詳細描述了系統中不同角色、使用者、服務前端應用(例如API),以及客戶端(例如網站或行動APP)之間怎麼實現相互認證。
(這裡採用jwt,這種JSON Web Token 這種方式進行認證)

3. 產生方法

  1. ##頭:加密類型

  2. 說明:訊息內容

  3. key:一個隨機碼用來加密

  4. 上面三部分使用.連接起來,然後使用hs256進行加密,產生tokent

4. 詳細產生方法

1). 頭部通常由兩部分組成:令牌的類型(即JWT)和所使用的加密演算法(如:SHA256或RSA)

{
      "alg": "HS256",
      "typ": "JWT"
}

#然後,這個json被Base64Url編​​碼,成為第一部分

2). 有效載荷是聲明。聲明是關於實體的部分。

{
      "exp": "1525785339",
      "sub": "1234567890",
      "name": "John Doe",
      "admin": true
}

然後將有效載荷Base64Url進行編碼,成為第二部分

(PS:此資訊儘管受到篡改保護,但是任何人都可以閱讀。除非加密,否則不要將重要訊息放在裡面)

3). 使用一個加密key

4). 簽名,需要使用編碼後的第一部分,編碼後的第二部分,然後一個關鍵的key。採用第一部分的加密演算法進行簽章

HMACSHA256(
          base64UrlEncode(header) + "." + base64UrlEncode(payload),
          key
)

該簽章用於驗證訊息是否有竄改。

(PHP使用crypt方法進行加密。注意:SHA-256用於防篡改,AES-256用於加密兩個概念不一樣)

5. token存放位置

通常應該在請求的header頭中的Authorization字段使用Bearer模式添加JWT(Authorization: Bearer ) (當然你也可以放在任意位置,如URL後面當成一個參數傳遞,只要客戶端能識別就行,不過既然JWT是個規範,那麼我們最好還是按照規範來)

推薦學習:《

PHP影片教學

6. 使用方式

    客戶端用戶輸入用戶名密碼後執行登錄,請求token
  1. 伺服器收到請求後,使用JWT這種規範,進行生成token,返回給客戶端
  2. 客戶端收到token以後,解密後,驗證token的時效性(token的過期時間),保存起來
  3. 客戶端拿token請求資料
  4. 伺服器收到token解密後,驗證使用者身份,驗證時效性,然後驗證使用者
7. 缺點

1. 无法作废已颁布的令牌(对token刷新使用期限)
2. 不易应对过期数据(支持 token 失效)

所以如果你使用了token ,那麼如果token 被捕獲到,那麼就可以進行偽造進行冒充。所以如果安全比較高的話,還是建議使用oauth2

以上是token PHP使用方法是什麼的詳細內容。更多資訊請關注PHP中文網其他相關文章!

陳述:
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn