php 实现JWT

于 2024-09-11 18:36:23 发布
阅读量171 收藏 3
点赞数 2
分类专栏: php 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Crazy_shark/article/details/142147246
版权

在 PHP 中,JSON Web Token (JWT) 是一种开放标准 (RFC 7519) 用于在各方之间作为 JSON 对象安全地传输信息。JWT 通常用于身份验证系统,如 OAuth2 或基于令牌的身份验证。

以下是一个基本的 PHP 实现 JWT 生成和验证的代码示例。

JWT 的组成部分

JWT 包含三个部分:

  1. Header(头部):说明算法和令牌类型。
  2. Payload(有效载荷):包含声明(如用户数据、过期时间等)。
  3. Signature(签名):用于验证令牌是否被篡改。

JWT 格式如下:
header.payload.signature

基本步骤

  1. 编码:使用 Base64 编码 Header 和 Payload。
  2. 签名:使用 Header 中定义的算法对编码后的 Header 和 Payload 进行签名。
  3. 验证:解析 JWT 时,通过检查签名是否有效来验证令牌。

代码实现

<?php

class JWT
{
    private static $secretKey = 'your_secret_key'; // 加密使用的秘钥
    private static $algo = 'HS256';  // 使用的算法

    /**
     * 生成JWT
     * 
     * @param array $payload 数据负载
     * @return string
     */
    public static function generateJWT($payload)
    {
        // 1. 生成header
        $header = json_encode(['alg' => self::$algo, 'typ' => 'JWT']);
        $base64Header = self::base64UrlEncode($header);

        // 2. 生成payload
        $base64Payload = self::base64UrlEncode(json_encode($payload));

        // 3. 生成signature
        $signature = hash_hmac('sha256', "$base64Header.$base64Payload", self::$secretKey, true);
        $base64Signature = self::base64UrlEncode($signature);

        // 4. 组合JWT
        $jwt = "$base64Header.$base64Payload.$base64Signature";

        return $jwt;
    }

    /**
     * 验证JWT
     * 
     * @param string $token JWT令牌
     * @return array|bool 如果验证成功返回payload,否则返回false
     */
    public static function verifyJWT($token)
    {
        // 1. 拆分JWT
        $parts = explode('.', $token);
        if (count($parts) !== 3) {
            return false;
        }

        list($base64Header, $base64Payload, $base64Signature) = $parts;

        // 2. 解码Header和Payload
        $header = json_decode(self::base64UrlDecode($base64Header), true);
        $payload = json_decode(self::base64UrlDecode($base64Payload), true);
        $signature = self::base64UrlDecode($base64Signature);

        // 3. 验证签名
        $expectedSignature = hash_hmac('sha256', "$base64Header.$base64Payload", self::$secretKey, true);
        if (!hash_equals($signature, $expectedSignature)) {
            return false;
        }

        // 4. 验证过期时间
        if (isset($payload['exp']) && $payload['exp'] < time()) {
            return false;
        }

        return $payload;
    }

    /**
     * Base64URL编码
     * 
     * @param string $data
     * @return string
     */
    private static function base64UrlEncode($data)
    {
        return rtrim(strtr(base64_encode($data), '+/', '-_'), '=');
    }

    /**
     * Base64URL解码
     * 
     * @param string $data
     * @return string
     */
    private static function base64UrlDecode($data)
    {
        return base64_decode(strtr($data, '-_', '+/'));
    }
}

说明:

  1. 生成 JWT

    • 使用  generateJWT($payload)  方法生成 JWT。
    •  header  包含签名算法信息(这里使用 HS256),payload 包含用户信息或其他声明。
    • hash_hmac('sha256') 方法签名生成的 JWT。

  2. 验证 JWT

    • 使用 verifyJWT($token) 方法验证 JWT。
    • 验证签名是否正确,以及 payload 中是否设置了过期时间(可选)。

  3. Base64 编码/解码

    • 使用 base64UrlEncode() base64UrlDecode() 实现 URL 安全的 Base64 编码。

测试代码

// 测试JWT生成
$payload = [
    'user_id' => 123,
    'username' => 'john_doe',
    'exp' => time() + 3600  // 过期时间1小时
];

$jwt = JWT::generateJWT($payload);
echo "Generated JWT: " . $jwt . PHP_EOL;

// 测试JWT验证
$decodedPayload = JWT::verifyJWT($jwt);
if ($decodedPayload) {
    echo "JWT is valid! Payload: " . print_r($decodedPayload, true) . PHP_EOL;
} else {
    echo "Invalid JWT!" . PHP_EOL;
}

JWT 生成结果示例

Generated JWT: eyJhbGciOiAiSFMyNTYiLCAidHlwIjogIkpXVCJ9.eyJ1c2VyX2lkIjogMTIzLCAidXNlcm5hbWUiOiAiam9obl9kb2UiLCAiZXhwIjogMTYxNjg1MjIwMn0.J0wLkhlUkTftKzVzR7Y9pVwSBU-WESCTwks2FyUwDUU
JWT is valid! Payload: Array
(
    [user_id] => 123
    [username] => john_doe
    [exp] => 1616852202
)

说明:

  • 过期时间 exp:你可以在 payload 中加入 exp,它代表 JWT 过期的时间戳,通常用来限制令牌的有效期。
  • 签名算法:这里使用的是 HS256(HMAC-SHA256),你可以根据需求换成其他的对称或非对称签名算法。

应用场景

  1. 用户认证:基于 JWT 的用户登录、身份验证机制。
  2. API 授权:通过 JWT 传递身份验证信息,允许或拒绝 API 请求。
  3. 微服务间通信:在分布式系统中,JWT 可以用于服务之间的身份验证和授权。
每天瞎忙的农民工
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php jwt解密token,php实现JWT(json web token)鉴权实例详解
weixin_36378232的博客
03-10 1665
{"alg": "HS256","typ": "JWT"}对应base64UrlEncode编码为:eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9说明:该字段为json格式。alg字段指定了生成signature的算法,默认值为 HS256,typ默认值为JWTpayload部分:{"sub": "1234567890","name": "John Doe","iat":...
php实现jwt
yh1611586847的博客
03-03 994
<?php /*** * PHP实现jwt加密 */ /** * JSON Web Token implementation, based on this spec: * https://tools.ietf.org/html/rfc7519 * * PHP version 5 * * @category Authentication * @package Authentication_JWT * @license http://opensource.org/licens.
PHP实现JWT
buyue
03-11 744
<?php namespace api\helpers; class JWT { private $signKey = 'p9Uui666666666yyyxxrffghhjkkh'; private $header = [ 'typ' => 'JWT', 'alg' => 'SHA256', ]; private $payload = []; function __construct(
php实现JWT
qq_27588415的博客
05-08 492
原文作者写的太好,这里搬来做个记录,方便以后查阅,地址:读懂JWT的使用,你就会用PHP如何实现了 要如何用php实现JWT认证,那我们首先就来认识一下什么是JWT。什么是JWTJWT(json web token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。 JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。比如用在用户...
PHP实现JWT登录鉴权
xdscode的博客
12-27 3858
一、什么是JWT 1. 简介 JWT(JSON Web Token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。 简单的说,JWT就是一种Token的编码算法,服务器端负责根据一个密码和算法生成Token,然后发给客户端,客户端只负责后面每次请求都在HTTP header里面带上这个Token,服务器负责验证这个Token是不是合法的,有没有过期等,并可以解析出subject和claim里面的数据。 2. JWT验证流程和特点 验证流程: ① 在头部信息中声明加密算法和常量, 然后
php实现jwt
weixin_44653849的博客
12-14 194
<?php /** * PHP实现jwt */ class Jwt { //头部 private static $header=array( 'alg'=>'HS256', //生成signature的算法 'typ'=>'JWT' //类型 ); //使用HMAC生成信息摘要时所使用的密钥 private static $key='123456'; /** * 获取jwt toke
jwt php实现,PHP简单实现JWT逻辑
weixin_39528000的博客
03-16 361
JWT由三个部分组成:header.payload.signatureheader部分:{"alg":"HS256","typ":"JWT"}对应base64UrlEncode编码为:eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9说明:该字段为json格式。alg字段指定了生成signature的算法,默认值为 HS256,typ默认值为JWTpayload部分:{"...
php jwt payload,php实现jwt
weixin_30187777的博客
03-10 219
JWT是什么JWT是json web token缩写。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。基于token的身份验证可以替代传统的cookie+session身份验证方法。JWT由三个部分组成:header.payload.signature以下示例以JWT官网为例header部分:{"alg": "HS256...
php实现JWT(json web token)鉴权实例详解
10-16
JSON Web Token (JWT) 是一种安全的身份验证和授权机制...总的来说,PHP实现JWT鉴权是通过创建、验证JWT Token来实现用户身份的安全传输和验证,它提供了一种轻量级且安全的身份验证方案,特别适合于API和微服务架构。
php实现JWT验证的实例教程
01-21
JWT,全称 Json web token,是为了在网络应用环境间传递声明而执行的一种基于JSON...php实现JWT,本例使用thinkphp框架,代码如下: 在vendor包中建立Jwt.php,建立类文件 class Jwt { //头部 private static $head
攻防世界 Web_php_unserialize
beiweixiaotian66的博客
09-07 578
因为GET传参还要经过一个Base64的解码,所以对这个表达式还要经过base64的加密。因为前面还有个正则表达式,所以我们还需要绕过这个正则表达式,使用。然后我们知道怎么绕过了,可不可以直接自己手动绕过,base加密捏。如果表示对象属性个数的值大于真实的属性个数时,就可以绕过。代表着后面的变量名长度应是10,但好像只有八位?表示空字符,但是还是占用一个字符位置。但是这样的base和上面不一样。,这样base出来就是一样的了。方法,写一个反序列化的脚本。这道题我们需要的文件是。,所以我们主要需要绕过。
[极客大挑战 2019]Http
最新发布
2201_75556700的博客
09-10 292
3、访问Secret.php发现页面有提示,它说它不是来自这个网页。6、添加X-Forwarded-For: 127.0.0.1。5、修改User-Agent为:Syclover。2、查看页面源码发现一个。
JAVA—网络通信
Hismybestlove的博客
09-05 1487
本文是学习网络通信入门和简单了解UDP协议和TCP协议,学习和了解CS架构和简单了解BS架构和HTTP协议
以太坊开发环境
禅与代码的艺术
09-07 1176
详细讨论了以太坊测试网络和私有网络。在初步介绍了私有网络设置之后,演示了如何使用 Geth 命令行工具执行各种功能,以及如何与以太坊区块链进行交互。还讨论了如何使用 Mist 来部署合约和发送交易。
Thinkphp5实现一周签到打卡功能
Crazy_shark的博客
09-10 335
以上是一个简单的 ThinkPHP5 实现一周签到打卡功能的示例。通过设计合适的数据库结构和控制器逻辑,你可以轻松实现用户签到和连续签到天数统计功能。在实际应用中,可能需要考虑更多的细节,如用户身份验证、签到奖励、接口优化等。
【2025】基于PHP职业病健康管理系统(源码+论文+部署讲解等)
程序员阿龙的博客
09-10 1114
博主介绍: ✌我是阿龙,一名专注于Java技术领域的程序员,全网拥有10W+粉丝。作为CSDN特邀作者、博客专家、新星计划导师,我在计算机毕业设计开发方面积累了丰富的经验。同时,我也是掘金、华为云、阿里云、InfoQ等平台的优质作者。通过长期分享和实战指导,我致力于帮助更多学生完成毕业项目和技术提升。 技术范围: 我熟悉的技术领域涵盖SpringBoot、Vue、SSM、HLMT、Jsp、PHP、Nodejs、Python、爬虫、数据可视化、小程序、安卓app、大数据、物联网、机器学习等方
中间件解析漏洞
m0_73771249的博客
09-05 755
1.在iis的⽹站根⽬录新建⼀个名为x.asp的⽂件2.在x.asp中新建⼀个jpg⽂件。内容为 asp代码3.在外部浏览器中访问windows2003的iis⽹站中的2.jpg 发现asp代码被执⾏4.将2.jpg⽂件放到⽹站根⽬录下访问,发现其中的asp代码没有被解析。由此可⻅.asp⽂件夹中的任意 ⽂件会被当做asp⽂件去执⾏。
php+mysql日志审计管理系统
python0328的博客
09-10 272
本系统实现了:用户登陆、日志审计、监控规则、用户管理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值