JWT怎么在phpweb端中使用

JWT怎么在phpweb端中使用？很多新手對此不是很清楚，為了幫助大家解決這個難題，下面小編將為大家詳細(xì)講解，有這方面需求的人可以來學(xué)習(xí)下，希望你能有所收獲。

解釋一下JWT

JWT就是一個字符串，經(jīng)過加密處理與校驗處理的字符串，由三個部分組成?；趖oken的身份驗證可以替代傳統(tǒng)的cookie+session身份驗證方法。三個部分分別如下：

 header.payload.signature

header部分組成

header 格式為:

{
"typ":"JWT",
"alg":"HS256"
}

這就是一個json串，兩個字段都是必須的,alg字段指定了生成signature的算法，默認(rèn)值為 HS256,可以自己指定其他的加密算法，如RSA.經(jīng)過base64encode就可以得到 header.

payload 部分組成

playload 基本組成部分：

簡單點(diǎn)：

$payload=[
  'iss' => $issuer, //簽發(fā)者
  'iat' => $_SERVER['REQUEST_TIME'], //什么時候簽發(fā)的
  'exp' => $_SERVER['REQUEST_TIME'] + 7200 //過期時間
  'uid'=>1111
 ];

復(fù)雜點(diǎn)：官方說法,三個部分組成(Reserved claims，Public claims,Private claims)

 $token = [
  #非必須。issuer 請求實體，可以是發(fā)起請求的用戶的信息，也可是jwt的簽發(fā)者。
  "iss" => "http://example.org",
  #非必須。issued at。 token創(chuàng)建時間，unix時間戳格式
  "iat" => $_SERVER['REQUEST_TIME'],
  #非必須。expire 指定token的生命周期。unix時間戳格式
  "exp" => $_SERVER['REQUEST_TIME'] + 7200,
  #非必須。接收該JWT的一方。
  "aud" => "http://example.com",
  #非必須。該JWT所面向的用戶
  "sub" => "jrocket@example.com",
  # 非必須。not before。如果當(dāng)前時間在nbf里的時間之前，則Token不被接受；一般都會留一些余地，比如幾分鐘。
  "nbf" => 1357000000,
  # 非必須。JWT ID。針對當(dāng)前token的唯一標(biāo)識
  "jti" => '222we',
  # 自定義字段
  "GivenName" => "Jonny",
  # 自定義字段
  "name" => "Rocket",
  # 自定義字段
  "Email" => "jrocket@example.com",
  
 ];

payload 也是一個json數(shù)據(jù)，是表明用戶身份的數(shù)據(jù)，可以自己自定義字段，很靈活。你也可以簡單的使用，比如簡單的方式。經(jīng)過json_encode和base64_encode就可得到payload

signature組成部分

將 header和 payload使用header中指定的加密算法加密，當(dāng)然加密過程還需要自定秘鑰，自己選一個字符串就可以了。
官網(wǎng)實例：

HMACSHA256(
 base64UrlEncode(header) + "." +
 base64UrlEncode(payload),
 secret)

自己使用：

<?php

 public static function encode(array $payload, string $key, string $alg = 'SHA256')
 {
 $key = md5($key);
 $jwt = self::urlsafeB64Encode(json_encode(['typ' => 'JWT', 'alg' => $alg])) . '.' . self::urlsafeB64Encode(json_encode($payload));
 return $jwt . '.' . self::signature($jwt, $key, $alg);
 }

 public static function signature(string $input, string $key, string $alg)
 {
 return hash_hmac($alg, $input, $key);
 }

這三個部分使用.連接起來就是高大上的JWT,然后就可以使用了.

JWT使用流程

官方使用流程說明：

翻譯一下：

• 初次登錄：用戶初次登錄，輸入用戶名密碼

• 密碼驗證：服務(wù)器從數(shù)據(jù)庫取出用戶名和密碼進(jìn)行驗證

• 生成JWT：服務(wù)器端驗證通過，根據(jù)從數(shù)據(jù)庫返回的信息，以及預(yù)設(shè)規(guī)則，生成JWT

• 返還JWT：服務(wù)器的HTTP RESPONSE中將JWT返還

• 帶JWT的請求：以后客戶端發(fā)起請求，HTTP REQUEST HEADER中的Authorizatio字段都要有值，為JWT

JWT 驗證過程

因為自己寫的，沒有使用框架，所以還是得簡單記錄一下驗證過程

客戶端在請求頭中帶有JWT信息，后端獲取$_SERVER[HTTP_AUTHORIZATION]:

不過注意一點(diǎn)，我這個Authorization沒有加Bearer,官方使用中就使用了Bearer,你也可以自己使用：

Authorization: Bearer <token>

php 驗證偽代碼：

<?php
public static function decode(string $jwt, string $key)
 {
  $tokens = explode('.', $jwt);
  $key = md5($key);

  if (count($tokens) != 3)
   return false;

  list($header64, $payload64, $sign) = $tokens;

  $header = json_decode(self::urlsafeB64Decode($header64), JSON_OBJECT_AS_ARRAY);
  if (empty($header['alg']))
   return false;

  if (self::signature($header64 . '.' . $payload64, $key, $header['alg']) !== $sign)
   return false;

  $payload = json_decode(self::urlsafeB64Decode($payload64), JSON_OBJECT_AS_ARRAY);

  $time = $_SERVER['REQUEST_TIME'];
  if (isset($payload['iat']) && $payload['iat'] > $time)
   return false;

  if (isset($payload['exp']) && $payload['exp'] < $time)
   return false;

  return $payload;
 }

 public static function urlsafeB64Decode(string $input)
 {
  $remainder = strlen($input) % 4;

  if ($remainder)
  {
   $padlen = 4 - $remainder;
   $input .= str_repeat('=', $padlen);
  }

  return base64_decode(strtr($input, '-_', '+/'));
 }
 
 
  public static function urlsafeB64Encode(string $input)
 {
  return str_replace('=', '', strtr(base64_encode($input), '+/', '-_'));
 }

JWT 在使用中的注意事項

使用了 JWT 我們一般都會考慮兩點(diǎn)：

1. 簽名是否正確？

2. Token是否到期？

這兩塊可以通過校驗幾個字段來處理

1. 建立 token 吊銷機(jī)制，將 token 寫入數(shù)據(jù)庫，

2. 無效 token 因未入數(shù)據(jù)庫，所以確信傳入的 token 是有效的。

3. 對有效的 token 進(jìn)行簽名驗證，獲取到 token 后重新生成簽名進(jìn)行校驗 token 的簽名部分( C 位的值)是否一致。

4. 確認(rèn)是否 token 超時可以通過 exp(expire 指定token的生命周期。unix時間戳格式) 和 nbf(not before。如果當(dāng)前時間在nbf里的時間之前，則Token不被接受。unix時間戳格式。) 聲明，獲取到 token 后，對時間進(jìn)行判斷。

5. 為了防止replay attack，可加上 iss(issuer 請求實體，可以是發(fā)起請求的用戶的信息，也可是jwt的簽發(fā)者。),jti (JWT ID。針對當(dāng)前token的唯一標(biāo)識) 和 iat(issued at。 token創(chuàng)建時間，unix時間戳格式) 聲明，然后獲取到 token 后，對聲明信息進(jìn)行匹配。

看完上述內(nèi)容是否對您有幫助呢？如果還想對相關(guān)知識有進(jìn)一步的了解或閱讀更多相關(guān)文章，請關(guān)注億速云行業(yè)資訊頻道，感謝您對億速云的支持。