一区二区三区在线-一区二区三区亚洲视频-一区二区三区亚洲-一区二区三区午夜-一区二区三区四区在线视频-一区二区三区四区在线免费观看

服務器之家:專注于服務器技術及軟件下載分享
分類導航

PHP教程|ASP.NET教程|Java教程|ASP教程|編程技術|正則表達式|C/C++|IOS|C#|Swift|Android|VB|R語言|JavaScript|易語言|vb.net|

服務器之家 - 編程語言 - PHP教程 - PHP實現JWT的Token登錄認證

PHP實現JWT的Token登錄認證

2022-01-19 14:46我卻醉的像條狗 PHP教程

這篇文章通過實例代碼介紹了PHP實現JWT的Token登錄認證的方式,對大家的學習或工作具有一定的參考借鑒價值,需要的朋友可以參考下

1、JWT簡介

JSON Web Token(縮寫 JWT),是目前最流行的跨域認證解決方案。

session登錄認證方案:用戶從客戶端傳遞用戶名、密碼等信息,服務端認證后將信息存儲在session中,將session_id放到cookie中。

以后訪問其他頁面,自動從cookie中取到session_id,再從session中取認證信息。

另一類解決方案,將認證信息,返回給客戶端,存儲到客戶端。下次訪問其他頁面,需要從客戶端傳遞認證信息回服務端。

JWT就是這類方案的代表,將認證信息保存在客戶端。

2、JWT 的原理

JWT 的原理是,服務器認證以后,生成一個 JSON格式的 對象,發回給客戶端,就像下面這樣。

?
1
2
3
4
5
{
"用戶名": "admin",
"角色": "超級管理員",
"到期時間": "2019-07-13 00:00:00"
}

以后,客戶端與服務端通信的時候,都要發回這個 JSON 對象。服務器完全只靠這個對象認定用戶身份。

為了防止用戶篡改數據,服務器在生成這個對象的時候,會加上簽名(詳見后文)。

服務器不再保存任何 session 數據,也就是服務器變成無狀態了,從而比較容易實現擴展。

3、JWT 的使用方式

客戶端收到服務器返回的 JWT,可以儲存在 Cookie 里面,也可以儲存在 localStorage。

此后,客戶端每次與服務器通信,都要帶上這個 JWT。你可以把它放在 Cookie 里面自動發送,但是這樣不能跨域,所以更好的做法是放在 HTTP 請求的頭信息Authorization字段里面。

?
1
Authorization: Bearer <token>

另一種做法是,跨域的時候,JWT 就放在 POST 請求的數據體里面。

4、JWT 的幾個特點

  • (1)JWT 默認是不加密,但也是可以加密的。生成原始 Token 以后,可以用密鑰再加密一次。
  • (2)JWT 不加密的情況下,不能將秘密數據寫入 JWT。
  • (3)JWT 不僅可以用于認證,也可以用于交換信息。有效使用 JWT,可以降低服務器查詢數據庫的次數。
  • (4)JWT 的最大缺點是,由于服務器不保存 session 狀態,因此無法在使用過程中廢止某個 token,或者更改 token 的權限。也就是說,一旦 JWT 簽發了,在到期之前就會始終有效,除非服務器部署額外的邏輯。
  • (5)JWT 本身包含了認證信息,一旦泄露,任何人都可以獲得該令牌的所有權限。為了減少盜用,JWT 的有效期應該設置得比較短。對于一些比較重要的權限,使用時應該再次對用戶進行認證。
  • (6)為了減少盜用,JWT 不應該使用 HTTP 協議明碼傳輸,要使用 HTTPS 協議傳輸。

5、功能實現

JWT功能組件

使用composer安裝 JWT 功能組件

?
1
composer require lcobucci/jwt 3.3

封裝JWT工具類 (參考 https://github.com/lcobucci/jwt/tree/3.3)

extend/tools/jwt/Token.php

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
<?php
namespace tools\jwt;
 
use Lcobucci\JWT\Builder;
use Lcobucci\JWT\Parser;
use Lcobucci\JWT\Signer\Hmac\Sha256;
use Lcobucci\JWT\ValidationData;
 
/**
 * Created by PhpStorm.
 * User: asus
 * Date: 2019/4/5
 * Time: 13:02
 */
class Token
{
    private static $_config = [
        'audience' => 'http://www.pyg.com',//接收人
        'id' => '3f2g57a92aa',//token的唯一標識,這里只是一個簡單示例
        'sign' => 'pinyougou',//簽名密鑰
        'issuer' => 'http://adminapi.pyg.com',//簽發人
        'expire' => 3600*24 //有效期
    ];
 
    //生成token
    public static function getToken($user_id){
 
        //簽名對象
        $signer = new Sha256();
        //獲取當前時間戳
        $time = time();
        //設置簽發人、接收人、唯一標識、簽發時間、立即生效、過期時間、用戶id、簽名
        $token = (new Builder())->issuedBy(self::$_config['issuer'])
            ->canOnlyBeUsedBy(self::$_config['audience'])
            ->identifiedBy(self::$_config['id'], true)
            ->issuedAt($time)
            ->canOnlyBeUsedAfter($time-1)
            ->expiresAt($time + self::$_config['expire'])
            ->with('user_id', $user_id)
            ->sign($signer, self::$_config['sign'])
            ->getToken();
        return (string)$token;
    }
 
    //從請求信息中獲取token令牌
    public static function getRequestToken()
    {
        if (empty($_SERVER['HTTP_AUTHORIZATION'])) {
            return false;
        }
 
        $header = $_SERVER['HTTP_AUTHORIZATION'];
        $method = 'bearer';
        //去除token中可能存在的bearer標識
        return trim(str_ireplace($method, '', $header));
    }
 
    //從token中獲取用戶id (包含token的校驗)
    public static function getUserId($token = null)
    {
        $user_id = null;
 
        $token = empty($token)?self::getRequestToken():$token;
 
        if (!empty($token)) {
            //為了注銷token 加以下if判斷代碼
            $delete_token = cache('delete_token') ?: [];
            if(in_array($token, $delete_token)){
                //token已被刪除(注銷)
                return $user_id;
            }
            $token = (new Parser())->parse((string) $token);
            //驗證token
            $data = new ValidationData();
            $data->setIssuer(self::$_config['issuer']);//驗證的簽發人
            $data->setAudience(self::$_config['audience']);//驗證的接收人
            $data->setId(self::$_config['id']);//驗證token標識
 
            if (!$token->validate($data)) {
                //token驗證失敗
                return $user_id;
            }
 
            //驗證簽名
            $signer = new Sha256();
            if (!$token->verify($signer, self::$_config['sign'])) {
                //簽名驗證失敗
                return $user_id;
            }
            //從token中獲取用戶id
            $user_id = $token->getClaim('user_id');
        }
 
        return $user_id;
    }
}

修改public/.htaccess文件,通過apache重寫,處理HTTP請求中的Authorization字段

(不處理,php中接收不到HTTP_AUTHORAZATION字段信息)

?
1
2
RewriteCond %{HTTP:Authorization} ^(.+)$
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]

測試: application/adminapi/controller/Index.phpindex方法

靜態調用封裝的\tools\jwt\Token類的getToken方法,傳遞一個用戶id值,生成token

靜態調用封裝的\tools\jwt\Token類的getUserId方法,傳遞一個token,獲取用戶id

PHP實現JWT的Token登錄認證

訪問結果

PHP實現JWT的Token登錄認證

到此這篇關于PHP實現JWT的Token登錄認證的文章就介紹到這了。希望對大家的學習有所幫助,也希望大家多多支持服務器之家。

原文鏈接:https://www.cnblogs.com/ruoruchujian/p/11271285.html

延伸 · 閱讀

精彩推薦
主站蜘蛛池模板: 久久se精品一区二区国产 | 国产青草视频在线观看免费影院 | 男人的天堂久久精品激情a 男人的天堂va | 日本中文字幕高清 | 婷婷在线观看香蕉五月天 | 色婷丁香| 精品蜜臀AV在线天堂 | 男人狂躁女人下面狂叫图片 | 欧美成人禁片在线观看俄罗斯 | 欧美午夜精品久久久久久黑人 | 好大好深受不了了快进来 | 久久不射电影网 | 无颜之月全集免费观看 | 91久久精品视频 | 无套内谢大学生A片 | 亚洲国产香蕉视频欧美 | 深夜精品高中女学生 | 男人的天堂久久精品激情 | 激情艳妇之性事高h | 国产免费小视频在线观看 | 韩国甜性涩爱免费观看 | 精品卡1卡2卡三卡免费网站 | 国产日本韩国不卡在线视频 | 亚洲国产欧美在线人成aaaa20 | 国产精品最新资源网 | ckinese中国男同gay男男 | 日本高h| 国产在线观看福利 | 校草让我脱了内裤给全班看 | 亚洲AV永久无码精品老司机蜜桃 | 欧美一区二区日韩一区二区 | 天天干天天操天天碰 | 91最新高端约会系列178 | 女海盗斯蒂内塔的复仇2免费观看 | 成年人在线免费看 | 欧美一级视频免费观看 | 四虎精品免费视频 | 国产免费好大好硬视频 | 国产成人精品一区二区不卡 | 地址二地址三2021变更 | 暖暖 免费 高清 中文 日本 |