php jwt怎樣處理刷新令牌

PHP
小樊
81
2024-11-19 06:08:38
欄目: 編程語言

在PHP中,使用JSON Web Tokens(JWT)處理刷新令牌的過程如下:

  1. 安裝JWT庫:首先,你需要安裝一個(gè)JWT庫,例如firebase/php-jwt。你可以使用Composer進(jìn)行安裝:
composer require firebase/php-jwt
  1. 生成訪問令牌和刷新令牌:當(dāng)用戶登錄時(shí),除了生成訪問令牌(access token)之外,還需要生成一個(gè)刷新令牌(refresh token)。訪問令牌具有較短的有效期,而刷新令牌具有較長(zhǎng)的有效期。
use Firebase\JWT\JWT;
use Firebase\JWT\Key;

// 假設(shè)你已經(jīng)驗(yàn)證了用戶的身份
$userId = 1;
$issuedAt = time();
$expirationTime = $issuedAt + 3600; // 訪問令牌有效期為1小時(shí)

// 生成密鑰
$key = "your-secret-key";

// 生成訪問令牌
$accessToken = JWT::encode([
    "iss" => "your-issuer",
    "iat" => $issuedAt,
    "exp" => $expirationTime,
    "userId" => $userId
], $key);

// 生成刷新令牌
$refreshExpirationTime = $issuedAt + 86400; // 刷新令牌有效期為1天
$refreshToken = JWT::encode([
    "iss" => "your-issuer",
    "iat" => $issuedAt,
    "exp" => $refreshExpirationTime,
    "userId" => $userId
], $key);

  1. 存儲(chǔ)刷新令牌:將生成的刷新令牌存儲(chǔ)在數(shù)據(jù)庫或會(huì)話中,以便在訪問令牌過期時(shí)使用。

  2. 驗(yàn)證訪問令牌:當(dāng)用戶發(fā)起請(qǐng)求時(shí),需要驗(yàn)證訪問令牌是否有效。如果訪問令牌無效或已過期,返回錯(cuò)誤信息并提示用戶使用刷新令牌。

try {
    $decoded = JWT::decode($accessToken, new Key($key, 'HS256'));
    // 訪問令牌有效,繼續(xù)處理請(qǐng)求
} catch (Exception $e) {
    // 訪問令牌無效或已過期,返回錯(cuò)誤信息
    echo "Invalid access token. Please use the refresh token.";
}
  1. 使用刷新令牌獲取新的訪問令牌:當(dāng)訪問令牌過期時(shí),可以使用刷新令牌向服務(wù)器發(fā)起請(qǐng)求以獲取新的訪問令牌。
try {
    $decoded = JWT::decode($refreshToken, new Key($key, 'HS256'));
    $issuedAt = time();
    $expirationTime = $issuedAt + 3600; // 新的訪問令牌有效期為1小時(shí)

    // 生成新的訪問令牌
    $newAccessToken = JWT::encode([
        "iss" => "your-issuer",
        "iat" => $issuedAt,
        "exp" => $expirationTime,
        "userId" => $decoded->userId
    ], $key);

    // 返回新的訪問令牌給客戶端
    echo $newAccessToken;
} catch (Exception $e) {
    // 刷新令牌無效或已過期,返回錯(cuò)誤信息
    echo "Invalid refresh token. Please login again.";
}
  1. 撤銷刷新令牌:為了防止刷新令牌被濫用,可以實(shí)現(xiàn)一個(gè)撤銷刷新令牌的功能。當(dāng)用戶登出或發(fā)現(xiàn)異常行為時(shí),可以將對(duì)應(yīng)的刷新令牌加入黑名單,使其失效。在驗(yàn)證刷新令牌時(shí),首先檢查其是否在黑名單中。
// 假設(shè)你有一個(gè)黑名單數(shù)組
$refreshTokenBlacklist = [];

function isRefreshTokenRevoked($refreshToken) {
    global $refreshTokenBlacklist;
    return in_array($refreshToken, $refreshTokenBlacklist);
}

// 在驗(yàn)證刷新令牌之前檢查是否已撤銷
if (isRefreshTokenRevoked($refreshToken)) {
    echo "Invalid refresh token. Please login again.";
} else {
    try {
        $decoded = JWT::decode($refreshToken, new Key($key, 'HS256'));
        // 刷新令牌有效,繼續(xù)處理請(qǐng)求
    } catch (Exception $e) {
        // 刷新令牌無效或已過期,返回錯(cuò)誤信息
        echo "Invalid refresh token. Please login again.";
    }
}

通過以上步驟,你可以在PHP中使用JWT處理刷新令牌。請(qǐng)確保密鑰的安全存儲(chǔ),并根據(jù)需要調(diào)整訪問令牌和刷新令牌的有效期。

0