JWT怎么在phpweb端中使用？很多新手對(duì)此不是很清楚，為了幫助大家解決這個(gè)難題，下面小編將為大家詳細(xì)講解，有這方面需求的人可以來(lái)學(xué)習(xí)下，希望你能有所收獲。

貢嘎網(wǎng)站制作公司哪家好，找創(chuàng)新互聯(lián)！從網(wǎng)頁(yè)設(shè)計(jì)、網(wǎng)站建設(shè)、微信開(kāi)發(fā)、APP開(kāi)發(fā)、響應(yīng)式網(wǎng)站開(kāi)發(fā)等網(wǎng)站項(xiàng)目制作，到程序開(kāi)發(fā)，運(yùn)營(yíng)維護(hù)。創(chuàng)新互聯(lián)于2013年創(chuàng)立到現(xiàn)在10年的時(shí)間，我們擁有了豐富的建站經(jīng)驗(yàn)和運(yùn)維經(jīng)驗(yàn)，來(lái)保證我們的工作的順利進(jìn)行。專注于網(wǎng)站建設(shè)就選創(chuàng)新互聯(lián)。

解釋一下JWT

JWT就是一個(gè)字符串，經(jīng)過(guò)加密處理與校驗(yàn)處理的字符串，由三個(gè)部分組成。基于token的身份驗(yàn)證可以替代傳統(tǒng)的cookie+session身份驗(yàn)證方法。三個(gè)部分分別如下：

 header.payload.signature

header部分組成

header 格式為:

{
"typ":"JWT",
"alg":"HS256"
}

這就是一個(gè)json串，兩個(gè)字段都是必須的,alg字段指定了生成signature的算法，默認(rèn)值為 HS256,可以自己指定其他的加密算法，如RSA.經(jīng)過(guò)base64encode就可以得到 header.

payload 部分組成

playload 基本組成部分：

簡(jiǎn)單點(diǎn)：

$payload=[
  'iss' => $issuer, //簽發(fā)者
  'iat' => $_SERVER['REQUEST_TIME'], //什么時(shí)候簽發(fā)的
  'exp' => $_SERVER['REQUEST_TIME'] + 7200 //過(guò)期時(shí)間
  'uid'=>1111
 ];

復(fù)雜點(diǎn)：官方說(shuō)法,三個(gè)部分組成(Reserved claims，Public claims,Private claims)

 $token = [
  #非必須。issuer 請(qǐng)求實(shí)體，可以是發(fā)起請(qǐng)求的用戶的信息，也可是jwt的簽發(fā)者。
  "iss" => "http://example.org",
  #非必須。issued at。 token創(chuàng)建時(shí)間，unix時(shí)間戳格式
  "iat" => $_SERVER['REQUEST_TIME'],
  #非必須。expire 指定token的生命周期。unix時(shí)間戳格式
  "exp" => $_SERVER['REQUEST_TIME'] + 7200,
  #非必須。接收該JWT的一方。
  "aud" => "http://example.com",
  #非必須。該JWT所面向的用戶
  "sub" => "jrocket@example.com",
  # 非必須。not before。如果當(dāng)前時(shí)間在nbf里的時(shí)間之前，則Token不被接受；一般都會(huì)留一些余地，比如幾分鐘。
  "nbf" => 1357000000,
  # 非必須。JWT ID。針對(duì)當(dāng)前token的標(biāo)識(shí)
  "jti" => '222we',
  # 自定義字段
  "GivenName" => "Jonny",
  # 自定義字段
  "name" => "Rocket",
  # 自定義字段
  "Email" => "jrocket@example.com",
  
 ];

payload 也是一個(gè)json數(shù)據(jù)，是表明用戶身份的數(shù)據(jù)，可以自己自定義字段，很靈活。你也可以簡(jiǎn)單的使用，比如簡(jiǎn)單的方式。經(jīng)過(guò)json_encode和base64_encode就可得到payload

signature組成部分

將 header和 payload使用header中指定的加密算法加密，當(dāng)然加密過(guò)程還需要自定秘鑰，自己選一個(gè)字符串就可以了。
官網(wǎng)實(shí)例：

HMACSHA256(
 base64UrlEncode(header) + "." +
 base64UrlEncode(payload),
 secret)

自己使用：

<?php

 public static function encode(array $payload, string $key, string $alg = 'SHA256')
 {
 $key = md5($key);
 $jwt = self::urlsafeB64Encode(json_encode(['typ' => 'JWT', 'alg' => $alg])) . '.' . self::urlsafeB64Encode(json_encode($payload));
 return $jwt . '.' . self::signature($jwt, $key, $alg);
 }

 public static function signature(string $input, string $key, string $alg)
 {
 return hash_hmac($alg, $input, $key);
 }

這三個(gè)部分使用.連接起來(lái)就是高大上的JWT,然后就可以使用了.

JWT使用流程

官方使用流程說(shuō)明：

翻譯一下：

• 初次登錄：用戶初次登錄，輸入用戶名密碼

• 密碼驗(yàn)證：服務(wù)器從數(shù)據(jù)庫(kù)取出用戶名和密碼進(jìn)行驗(yàn)證

• 生成JWT：服務(wù)器端驗(yàn)證通過(guò)，根據(jù)從數(shù)據(jù)庫(kù)返回的信息，以及預(yù)設(shè)規(guī)則，生成JWT

• 返還JWT：服務(wù)器的HTTP RESPONSE中將JWT返還

• 帶JWT的請(qǐng)求：以后客戶端發(fā)起請(qǐng)求，HTTP REQUEST HEADER中的Authorizatio字段都要有值，為JWT

JWT 驗(yàn)證過(guò)程

因?yàn)樽约簩?xiě)的，沒(méi)有使用框架，所以還是得簡(jiǎn)單記錄一下驗(yàn)證過(guò)程

客戶端在請(qǐng)求頭中帶有JWT信息，后端獲取$_SERVER[HTTP_AUTHORIZATION]:

不過(guò)注意一點(diǎn)，我這個(gè)Authorization沒(méi)有加Bearer,官方使用中就使用了Bearer,你也可以自己使用：

Authorization: Bearer <token>

php 驗(yàn)證偽代碼：

<?php
public static function decode(string $jwt, string $key)
 {
  $tokens = explode('.', $jwt);
  $key = md5($key);

  if (count($tokens) != 3)
   return false;

  list($header64, $payload64, $sign) = $tokens;

  $header = json_decode(self::urlsafeB64Decode($header64), JSON_OBJECT_AS_ARRAY);
  if (empty($header['alg']))
   return false;

  if (self::signature($header64 . '.' . $payload64, $key, $header['alg']) !== $sign)
   return false;

  $payload = json_decode(self::urlsafeB64Decode($payload64), JSON_OBJECT_AS_ARRAY);

  $time = $_SERVER['REQUEST_TIME'];
  if (isset($payload['iat']) && $payload['iat'] > $time)
   return false;

  if (isset($payload['exp']) && $payload['exp'] < $time)
   return false;

  return $payload;
 }

 public static function urlsafeB64Decode(string $input)
 {
  $remainder = strlen($input) % 4;

  if ($remainder)
  {
   $padlen = 4 - $remainder;
   $input .= str_repeat('=', $padlen);
  }

  return base64_decode(strtr($input, '-_', '+/'));
 }
 
 
  public static function urlsafeB64Encode(string $input)
 {
  return str_replace('=', '', strtr(base64_encode($input), '+/', '-_'));
 }

JWT 在使用中的注意事項(xiàng)

使用了 JWT 我們一般都會(huì)考慮兩點(diǎn)：

1. 簽名是否正確？

2. Token是否到期？

這兩塊可以通過(guò)校驗(yàn)幾個(gè)字段來(lái)處理

1. 建立 token 吊銷(xiāo)機(jī)制，將 token 寫(xiě)入數(shù)據(jù)庫(kù)，

2. 無(wú)效 token 因未入數(shù)據(jù)庫(kù)，所以確信傳入的 token 是有效的。

3. 對(duì)有效的 token 進(jìn)行簽名驗(yàn)證，獲取到 token 后重新生成簽名進(jìn)行校驗(yàn) token 的簽名部分( C 位的值)是否一致。

4. 確認(rèn)是否 token 超時(shí)可以通過(guò) exp(expire 指定token的生命周期。unix時(shí)間戳格式) 和 nbf(not before。如果當(dāng)前時(shí)間在nbf里的時(shí)間之前，則Token不被接受。unix時(shí)間戳格式。) 聲明，獲取到 token 后，對(duì)時(shí)間進(jìn)行判斷。

5. 為了防止replay attack，可加上 iss(issuer 請(qǐng)求實(shí)體，可以是發(fā)起請(qǐng)求的用戶的信息，也可是jwt的簽發(fā)者。),jti (JWT ID。針對(duì)當(dāng)前token的標(biāo)識(shí)) 和 iat(issued at。 token創(chuàng)建時(shí)間，unix時(shí)間戳格式) 聲明，然后獲取到 token 后，對(duì)聲明信息進(jìn)行匹配。

看完上述內(nèi)容是否對(duì)您有幫助呢？如果還想對(duì)相關(guān)知識(shí)有進(jìn)一步的了解或閱讀更多相關(guān)文章，請(qǐng)關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道，感謝您對(duì)創(chuàng)新互聯(lián)網(wǎng)站建設(shè)公司，的支持。

網(wǎng)站標(biāo)題：JWT怎么在phpweb端中使用-創(chuàng)新互聯(lián)
當(dāng)前鏈接：http://sd-ha.com/article38/dedppp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供品牌網(wǎng)站設(shè)計(jì)、商城網(wǎng)站、全網(wǎng)營(yíng)銷(xiāo)推廣、靜態(tài)網(wǎng)站、關(guān)鍵詞優(yōu)化、網(wǎng)站設(shè)計(jì)公司

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)