JWT登入認證實戰模擬流程全紀錄

經過php小編香蕉精心整理，我們為大家介紹一款熱門的實戰開發模擬過程全紀錄－JWT登入認證實戰模擬。 JWT（JSON Web Token）是一種用於認證的開放標準，它透過在使用者登入成功後產生一個令牌（Token），使用者在後續的請求中攜帶這個令牌來進行身份認證。本文將深入剖析JWT登入認證的實現過程，並提供全面的實戰演示錄音，在這個過程中，我們將帶您了解JWT的原理以及如何在實際開發中應用。無論你是初學者還是有經驗的開發者，都能從本文中獲得有價值的知識和實戰經驗。

Token 認證流程

• 作為目前最受歡迎的跨領域認證解決方案，JWT（JSON WEB Token）深受 開發者的喜愛，主要流程如下：
• 客戶端發送帳號和密碼請求登入
• 服務端收到請求，驗證帳號密碼是否透過
• 驗證成功後，服務端會產生唯一的token，並將其傳回給客戶端
• 客戶端接受到token，將其儲存在cookie 或localStroge 中
• 之後每一次客戶端向服務端發送請求，都會透過cookie 或header 攜帶該token

• 服務端驗證token 的有效性，透過才回傳回應的資料

Token 認證優點

• 支援跨網域存取：Cookie 是不允許跨網域存取的，這一點對Token 機制是不存在的，前提是傳輸的使用者認證資訊透過Http 頭傳輸
• 無狀態： Token 機制在服務端不需要儲存session 訊息，因為Token 本身包含了所有登入使用者的信息，只需要在客戶端的cookie 或本地媒體儲存狀態資訊
• 適用性更廣： 只要是支援http 協定的客戶端，就可以使用token 認證。
• 無須考慮CSRF： 由於不再依賴cookie，所以採用token 認證方式不會發生CSRF，所以也就不需要考慮CSRF 的防禦

JWT 結構

• #一個JWT 其實就是一個字串，它由三個部分組成：頭部、載重與簽章。中間用點 . 分隔成三個部分。注意 JWT 內部是沒有換行的。

? 頭/ header

header 由兩個部分組成： token 的類型JWT 和演算法名稱：H<strong class="keylink">Mac</strong>、SHA256、RSA

{
"alg": "HS256",
"typ": "JWT"
}

? 載荷/ Payload

#Payload 部分也是<strong class="keylink">js</strong>ON 對象，用來存放實際需要傳遞的資料。 JWT 指定七個預設欄位供選擇。

除了預設字段之外，你完全可以添加自己想要的任何字段，一般用戶登入成功後，就將用戶資訊存放在這裡

iss：發行人
exp：到期時間
sub：主題
aud：使用者
nbf：在此之前不可用
iat：發佈時間
jti：JWT ID用於識別該JWT

{
"iss": "xxxxxxx",
"sub": "xxxxxxx",
"aud": "xxxxxxx",
"user": [
	'username': '极客飞兔',
	'gender': 1,
	'nickname': '飞兔小哥' 
 ] 
}

• ? 簽章/ Signature
• 簽章部分是對上面的頭部、載重兩部分資料進行的資料簽章
• 為了確保資料不會被竄改，則需要指定一個金鑰，而這個金鑰一般只有你知道，並且存放在服務端
• 產生簽章的程式碼一般如下：

// 其中secret 是密钥
String signature = HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)

JWT 基本使用

• 客戶端收到伺服器 傳回的JWT，可以儲存在Cookie 裡面， 也可以儲存在localStorage
• 然後客戶端每次與伺服器通信，都要帶上這個JWT
• 把JWT 保存在Cookie 裡面發送請求，這樣不能跨域
• 更好的做法是放在HTTP 請求的頭資訊Authorization 欄位裡面

fetch('license/login', {
	headers: {
		'Authorization': 'X-TOKEN' + token
	}
})

實戰：使用JWT 登入認證

這裡使用Think<strong class="keylink">PHP</strong>6 整合JWT 登入認證進行實戰模擬

? 安裝JWT 擴充功能

composer require firebase/php-jwt

? 封裝產生JWT 和解密方法

<?php


namespace app\services;

use app\Helper;
use Firebase\JWT\JWT;
use Firebase\JWT\Key;

class JwtService
{
protected $salt;

public function __construct()
{
//从配置信息这种或取唯一字符串，你可以随便写比如md5(&#39;token&#39;)
$this->salt = config(&#39;jwt.salt&#39;) || "autofelix";
}

// jwt生成
public function generateToken($user)
{
$data = array(
"iss" => &#39;autofelix&#39;,//签发者 可以为空
"aud" => &#39;autofelix&#39;, //面象的用户，可以为空
"iat" => Helper::getTimestamp(), //签发时间
"nbf" => Helper::getTimestamp(), //立马生效
"exp" => Helper::getTimestamp() + 7200, //token 过期时间 两小时
"user" => [ // 记录用户信息
&#39;id&#39; => $user->id,
&#39;username&#39; => $user->username,
&#39;truename&#39; => $user->truename,
&#39;phone&#39; => $user->phone,
&#39;email&#39; => $user->email,
&#39;role_id&#39; => $user->role_id
]
);
$jwt = JWT::encode($data, md5($this->salt), &#39;HS256&#39;);
return $jwt;
}

// jwt解密
public function chekToken($token)
{
JWT::$leeway = 60; //当前时间减去60，把时间留点余地
$decoded = JWT::decode($token, new Key(md5($this->salt), &#39;HS256&#39;));
return $decoded;
}
}

? 使用者登入後，產生JWT 識別碼

#

<?php
declare (strict_types=1);

namespace app\controller;

use think\Request;
use app\ResponseCode;
use app\Helper;
use app\model\User as UserModel;
use app\services\JwtService;

class License
{
public function login(Request $request)
{
$data = $request->only([&#39;username&#39;, &#39;passWord&#39;, &#39;code&#39;]);

// ....进行验证的相关逻辑...
$user = UserModel::where(&#39;username&#39;, $data[&#39;username&#39;])->find();
		
		// 验证通过生成 JWT, 返回给前端保存
$token = (new JwtService())->generateToken($user);

return json([
&#39;code&#39; => ResponseCode::SUCCESS,
&#39;message&#39; => &#39;登录成功&#39;,
&#39;data&#39; => [
&#39;token&#39; => $token
]
]);
}
}

? 中間件驗證使用者是否登入

#在middleware.php 註冊中介軟體

<?php
// 全局中间件定义文件
return [
	// ...其他中间件
// JWT验证
\app\middleware\Auth::class
];

註冊中間件後，在權限驗證中介軟體中完善驗證邏輯

<?php
declare (strict_types=1);

namespace app\middleware;

use app\ResponseCode;
use app\services\JwtService;

class Auth
{
private $router_white_list = [&#39;login&#39;];

public function handle($request, \Closure $next)
{
if (!in_array($request->pathinfo(), $this->router_white_list)) {
$token = $request->header(&#39;token&#39;);

try {
	// jwt 验证
$jwt = (new JwtService())->chekToken($token);
} catch (\Throwable $e) {
return json([
&#39;code&#39; => ResponseCode::ERROR,
&#39;msg&#39; => &#39;Token验证失败&#39;
]);
}

$request->user = $jwt->user;
}

return $next($request);
}
}

附：为什么使用jwt而不使用session

• session是将客户端数据储存在服务器的内存，当客服端的数据过多，服务器的内存开销大；
• session的数据储存在某台服务器，在分布式的项目中无法做到共享；
• jwt的安全性更好。

总而言之，如果使用了分布式，切只能在session和jwt里面选的时候，就一定要选jwt。

以上是JWT登入認證實戰模擬流程全紀錄的詳細內容。更多資訊請關注PHP中文網其他相關文章！