jwt php

转载自：：https://blog.csdn.net/HobHunter/article/details/78524922

前言

关于jwt的介绍这里就不阐述了，相信你已经在网上看到了N篇介绍文章（你丫的讲那么多介绍到是告诉我怎么样呀！），关于php使用jwt的相关的使用却少的可怜，有的也看的模模糊糊，于是就自己整理，也方便自己以后进行查看。

jwt版本

php中jwt有3个版本：2.0、2.2、3.0。so！我们选择的是3.0的版本。别问为什么，你买电子产品都是买新不买旧呢。(说到这，想到了即将到手的iphonex，隐隐肾疼) ，看图可以发现3.0的版本支持更多参数。具体参数下面会解释

安装

1、使用composer安装

composer require lcobucci/jwt

• 1

2、从github上下载

点我跳转到github地址

依赖

• PHP 5.5+
• OpenSSL扩展

使用

参数解释

在使用之前先解释下上面参数的意思：

名称	解释
iss (issuer)	issuer 请求实体，可以是发起请求的用户的信息，也可是jwt的签发者
sub (Subject)	设置主题，类似于发邮件时的主题
aud (audience)	接收jwt的一方
exp (expire)	token过期时间
nbf (not before)	当前时间在nbf设定时间之前，该token无法使用
iat (issued at)	token创建时间
jti (JWT ID)	对当前token设置唯一标示

生成token

使用秘钥签名

use Lcobucci\JWT\Builder;
use Lcobucci\JWT\Signer\Hmac\Sha256;

$builder = new Builder();
$signer = new Sha256();
// 设置发行人
$builder->setIssuer('http://example.com'); 
// 设置接收人
$builder->setAudience('http://example.org'); 
// 设置id
$builder->setId('4f1g23a12aa', true); 
// 设置生成token的时间
$builder->setIssuedAt(time()); 
// 设置在60秒内该token无法使用
$builder->setNotBefore(time() + 60); 
// 设置过期时间
$builder->setExpiration(time() + 3600); 
// 给token设置一个id
$builder->set('uid', 1); 
// 对上面的信息使用sha256算法签名
$builder->sign($signer, '签名key');
// 获取生成的token
$token = $builder->getToken();

• 1
• 2
• 3
• 4
• 5
• 6
• 7
• 8
• 9
• 10
• 11
• 12
• 13
• 14
• 15
• 16
• 17
• 18
• 19
• 20
• 21
• 22
• 23

使用RSA和ECDSA签名

RSA和ECDSA签名是基于公钥和私钥,所以必须使用私钥生成和验证使用

use Lcobucci\JWT\Signer\Keychain;
// 注意这里使用的sha256
use Lcobucci\JWT\Signer\Rsa\Sha256; 

$signer = new Sha256();
$keychain = new Keychain();

$builder = new Builder();
$builder->setIssuer('http://example.com');
$builder->setAudience('http://example.org');
$builder->setId('4f1g23a12aa', true);
$builder->setIssuedAt(time());
$builder->setNotBefore(time() + 60);
$builder->setExpiration(time() + 3600);
$builder->set('uid', 1);
// 与上面不同的是这里使用的是你的私钥，并提供私钥的地址
$builder->sign($signer, $keychain->getPrivateKey('file://{私钥地址}'));
$toekn = $builder->getToken();

• 1
• 2
• 3
• 4
• 5
• 6
• 7
• 8
• 9
• 10
• 11
• 12
• 13
• 14
• 15
• 16
• 17
• 18

验证token

秘钥解密

use Lcobucci\JWT\Signer\Hmac\Sha256;

$parse = (new Parser())->parse($token);
$signer = new Sha256();
$parse->verify($signer,'签名key');// 验证成功返回true 失败false

• 1
• 2
• 3
• 4
• 5

RSA和ECDSA

use Lcobucci\JWT\Signer\Rsa\Sha256;
use Lcobucci\JWT\Signer\Keychain;
$parse = (new Parser())->parse($token);
$signer = new Sha256();
var_dump($token->verify($signer, $keychain->getPublicKey('file://{公钥地址}'))

• 1
• 2
• 3
• 4
• 5

获取数据

因为数据部分可以直接获取到，不用解密。所以在验证token合法后直接读取即可，这也是不要在载体中存放敏感信息的原因。

$parse = (new Parser())->parse($token);
// 获取全部信息，返回一个数组，
var_dump($parse->getClaims());
// 获取单条信息
var_dump($parse->getClaim('aud'));
....

• 1
• 2
• 3
• 4
• 5
• 6

注意事项

关于jwt的使用大概就是这些。上面的代码在你使用的时候可能会出现两个问题：

1、命名空间错误 
解决：不使用命名空间的话，使用require引入文件。如果使用命名空间出现错误，请检查命名空间的路径。

2、生成的token是一个对象 
解决：(string)$token 将token强转成string

最后，如果上面写的有错误或者不足的地方，欢迎在下面留言给我。

前言

关于jwt的介绍这里就不阐述了，相信你已经在网上看到了N篇介绍文章（你丫的讲那么多介绍到是告诉我怎么样呀！），关于php使用jwt的相关的使用却少的可怜，有的也看的模模糊糊，于是就自己整理，也方便自己以后进行查看。

jwt版本

php中jwt有3个版本：2.0、2.2、3.0。so！我们选择的是3.0的版本。别问为什么，你买电子产品都是买新不买旧呢。(说到这，想到了即将到手的iphonex，隐隐肾疼) ，看图可以发现3.0的版本支持更多参数。具体参数下面会解释

安装

1、使用composer安装

composer require lcobucci/jwt

• 1

2、从github上下载

点我跳转到github地址

依赖

• PHP 5.5+
• OpenSSL扩展

使用

参数解释

在使用之前先解释下上面参数的意思：

名称	解释
iss (issuer)	issuer 请求实体，可以是发起请求的用户的信息，也可是jwt的签发者
sub (Subject)	设置主题，类似于发邮件时的主题
aud (audience)	接收jwt的一方
exp (expire)	token过期时间
nbf (not before)	当前时间在nbf设定时间之前，该token无法使用
iat (issued at)	token创建时间
jti (JWT ID)	对当前token设置唯一标示

生成token

使用秘钥签名

use Lcobucci\JWT\Builder;
use Lcobucci\JWT\Signer\Hmac\Sha256;

$builder = new Builder();
$signer = new Sha256();
// 设置发行人
$builder->setIssuer('http://example.com'); 
// 设置接收人
$builder->setAudience('http://example.org'); 
// 设置id
$builder->setId('4f1g23a12aa', true); 
// 设置生成token的时间
$builder->setIssuedAt(time()); 
// 设置在60秒内该token无法使用
$builder->setNotBefore(time() + 60); 
// 设置过期时间
$builder->setExpiration(time() + 3600); 
// 给token设置一个id
$builder->set('uid', 1); 
// 对上面的信息使用sha256算法签名
$builder->sign($signer, '签名key');
// 获取生成的token
$token = $builder->getToken();

• 1
• 2
• 3
• 4
• 5
• 6
• 7
• 8
• 9
• 10
• 11
• 12
• 13
• 14
• 15
• 16
• 17
• 18
• 19
• 20
• 21
• 22
• 23

使用RSA和ECDSA签名

RSA和ECDSA签名是基于公钥和私钥,所以必须使用私钥生成和验证使用

use Lcobucci\JWT\Signer\Keychain;
// 注意这里使用的sha256
use Lcobucci\JWT\Signer\Rsa\Sha256; 

$signer = new Sha256();
$keychain = new Keychain();

$builder = new Builder();
$builder->setIssuer('http://example.com');
$builder->setAudience('http://example.org');
$builder->setId('4f1g23a12aa', true);
$builder->setIssuedAt(time());
$builder->setNotBefore(time() + 60);
$builder->setExpiration(time() + 3600);
$builder->set('uid', 1);
// 与上面不同的是这里使用的是你的私钥，并提供私钥的地址
$builder->sign($signer, $keychain->getPrivateKey('file://{私钥地址}'));
$toekn = $builder->getToken();

• 1
• 2
• 3
• 4
• 5
• 6
• 7
• 8
• 9
• 10
• 11
• 12
• 13
• 14
• 15
• 16
• 17
• 18

验证token

秘钥解密

use Lcobucci\JWT\Signer\Hmac\Sha256;

$parse = (new Parser())->parse($token);
$signer = new Sha256();
$parse->verify($signer,'签名key');// 验证成功返回true 失败false

• 1
• 2
• 3
• 4
• 5

RSA和ECDSA

use Lcobucci\JWT\Signer\Rsa\Sha256;
use Lcobucci\JWT\Signer\Keychain;
$parse = (new Parser())->parse($token);
$signer = new Sha256();
var_dump($token->verify($signer, $keychain->getPublicKey('file://{公钥地址}'))

• 1
• 2
• 3
• 4
• 5

获取数据

因为数据部分可以直接获取到，不用解密。所以在验证token合法后直接读取即可，这也是不要在载体中存放敏感信息的原因。

$parse = (new Parser())->parse($token);
// 获取全部信息，返回一个数组，
var_dump($parse->getClaims());
// 获取单条信息
var_dump($parse->getClaim('aud'));
....

• 1
• 2
• 3
• 4
• 5
• 6

注意事项

关于jwt的使用大概就是这些。上面的代码在你使用的时候可能会出现两个问题：

1、命名空间错误 
解决：不使用命名空间的话，使用require引入文件。如果使用命名空间出现错误，请检查命名空间的路径。

2、生成的token是一个对象 
解决：(string)$token 将token强转成string

最后，如果上面写的有错误或者不足的地方，欢迎在下面留言给我。

前言

关于jwt的介绍这里就不阐述了，相信你已经在网上看到了N篇介绍文章（你丫的讲那么多介绍到是告诉我怎么样呀！），关于php使用jwt的相关的使用却少的可怜，有的也看的模模糊糊，于是就自己整理，也方便自己以后进行查看。

jwt版本

php中jwt有3个版本：2.0、2.2、3.0。so！我们选择的是3.0的版本。别问为什么，你买电子产品都是买新不买旧呢。(说到这，想到了即将到手的iphonex，隐隐肾疼) ，看图可以发现3.0的版本支持更多参数。具体参数下面会解释

安装

1、使用composer安装

composer require lcobucci/jwt

• 1

2、从github上下载

点我跳转到github地址

依赖

• PHP 5.5+
• OpenSSL扩展

使用

参数解释

在使用之前先解释下上面参数的意思：

名称	解释
iss (issuer)	issuer 请求实体，可以是发起请求的用户的信息，也可是jwt的签发者
sub (Subject)	设置主题，类似于发邮件时的主题
aud (audience)	接收jwt的一方
exp (expire)	token过期时间
nbf (not before)	当前时间在nbf设定时间之前，该token无法使用
iat (issued at)	token创建时间
jti (JWT ID)	对当前token设置唯一标示

生成token

使用秘钥签名

use Lcobucci\JWT\Builder;
use Lcobucci\JWT\Signer\Hmac\Sha256;

$builder = new Builder();
$signer = new Sha256();
// 设置发行人
$builder->setIssuer('http://example.com'); 
// 设置接收人
$builder->setAudience('http://example.org'); 
// 设置id
$builder->setId('4f1g23a12aa', true); 
// 设置生成token的时间
$builder->setIssuedAt(time()); 
// 设置在60秒内该token无法使用
$builder->setNotBefore(time() + 60); 
// 设置过期时间
$builder->setExpiration(time() + 3600); 
// 给token设置一个id
$builder->set('uid', 1); 
// 对上面的信息使用sha256算法签名
$builder->sign($signer, '签名key');
// 获取生成的token
$token = $builder->getToken();

• 1
• 2
• 3
• 4
• 5
• 6
• 7
• 8
• 9
• 10
• 11
• 12
• 13
• 14
• 15
• 16
• 17
• 18
• 19
• 20
• 21
• 22
• 23

使用RSA和ECDSA签名

RSA和ECDSA签名是基于公钥和私钥,所以必须使用私钥生成和验证使用

use Lcobucci\JWT\Signer\Keychain;
// 注意这里使用的sha256
use Lcobucci\JWT\Signer\Rsa\Sha256; 

$signer = new Sha256();
$keychain = new Keychain();

$builder = new Builder();
$builder->setIssuer('http://example.com');
$builder->setAudience('http://example.org');
$builder->setId('4f1g23a12aa', true);
$builder->setIssuedAt(time());
$builder->setNotBefore(time() + 60);
$builder->setExpiration(time() + 3600);
$builder->set('uid', 1);
// 与上面不同的是这里使用的是你的私钥，并提供私钥的地址
$builder->sign($signer, $keychain->getPrivateKey('file://{私钥地址}'));
$toekn = $builder->getToken();

• 1
• 2
• 3
• 4
• 5
• 6
• 7
• 8
• 9
• 10
• 11
• 12
• 13
• 14
• 15
• 16
• 17
• 18

验证token

秘钥解密

use Lcobucci\JWT\Signer\Hmac\Sha256;

$parse = (new Parser())->parse($token);
$signer = new Sha256();
$parse->verify($signer,'签名key');// 验证成功返回true 失败false

• 1
• 2
• 3
• 4
• 5

RSA和ECDSA

use Lcobucci\JWT\Signer\Rsa\Sha256;
use Lcobucci\JWT\Signer\Keychain;
$parse = (new Parser())->parse($token);
$signer = new Sha256();
var_dump($token->verify($signer, $keychain->getPublicKey('file://{公钥地址}'))

• 1
• 2
• 3
• 4
• 5

获取数据

因为数据部分可以直接获取到，不用解密。所以在验证token合法后直接读取即可，这也是不要在载体中存放敏感信息的原因。

$parse = (new Parser())->parse($token);
// 获取全部信息，返回一个数组，
var_dump($parse->getClaims());
// 获取单条信息
var_dump($parse->getClaim('aud'));
....

• 1
• 2
• 3
• 4
• 5
• 6

注意事项

关于jwt的使用大概就是这些。上面的代码在你使用的时候可能会出现两个问题：

1、命名空间错误 
解决：不使用命名空间的话，使用require引入文件。如果使用命名空间出现错误，请检查命名空间的路径。

2、生成的token是一个对象 
解决：(string)$token 将token强转成string

最后，如果上面写的有错误或者不足的地方，欢迎在下面留言给我。

另一个转载：https://segmentfault.com/a/1190000009981879

解释一下JWT

JWT就是一个字符串，经过加密处理与校验处理的字符串，由三个部分组成。基于token的身份验证可以替代传统的cookie+session身份验证方法。三个部分分别如下：

 header.payload.signature

header部分组成

header 格式为:

{
"typ":"JWT",
"alg":"HS256"
}

这就是一个json串，两个字段都是必须的,alg字段指定了生成signature的算法，默认值为 HS256,可以自己指定其他的加密算法，如RSA.经过base64encode就可以得到 header.

payload 部分组成

playload 基本组成部分：

简单点：

$payload=[
            'iss' => $issuer, //签发者
            'iat' => $_SERVER['REQUEST_TIME'], //什么时候签发的
            'exp' => $_SERVER['REQUEST_TIME'] + 7200 //过期时间
            'uid'=>1111
        ];

复杂点：官方说法,三个部分组成(Reserved claims，Public claims,Private claims)

 $token   = [
            #非必须。issuer 请求实体，可以是发起请求的用户的信息，也可是jwt的签发者。
            "iss"       => "http://example.org",
            #非必须。issued at。 token创建时间，unix时间戳格式
            "iat"       => $_SERVER['REQUEST_TIME'],
            #非必须。expire 指定token的生命周期。unix时间戳格式
            "exp"       => $_SERVER['REQUEST_TIME'] + 7200,
            #非必须。接收该JWT的一方。
            "aud"       => "http://example.com",
            #非必须。该JWT所面向的用户
            "sub"       => "jrocket@example.com",
            # 非必须。not before。如果当前时间在nbf里的时间之前，则Token不被接受；一般都会留一些余地，比如几分钟。
            "nbf"       => 1357000000,
            # 非必须。JWT ID。针对当前token的唯一标识
            "jti"       => '222we',
            # 自定义字段
            "GivenName" => "Jonny",
            # 自定义字段
            "name"   => "Rocket",
            # 自定义字段
            "Email"     => "jrocket@example.com",
         
        ];

payload 也是一个json数据，是表明用户身份的数据，可以自己自定义字段，很灵活。你也可以简单的使用，比如简单的方式。经过json_encode和base64_encode就可得到payload

signature组成部分

将 header和 payload使用header中指定的加密算法加密，当然加密过程还需要自定秘钥，自己选一个字符串就可以了。

官网实例：

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

自己使用：

<?php

    public static function encode(array $payload, string $key, string $alg = 'SHA256')
    {
        $key = md5($key);
        $jwt = self::urlsafeB64Encode(json_encode(['typ' => 'JWT', 'alg' => $alg])) . '.' . self::urlsafeB64Encode(json_encode($payload));
        return $jwt . '.' . self::signature($jwt, $key, $alg);
    }

   public static function signature(string $input, string $key, string $alg)
    {
        return hash_hmac($alg, $input, $key);
    }

这三个部分使用.连接起来就是高大上的JWT,然后就可以使用了.

JWT使用流程

官方使用流程说明：

翻译一下：

• 初次登录：用户初次登录，输入用户名密码

• 密码验证：服务器从数据库取出用户名和密码进行验证

• 生成JWT：服务器端验证通过，根据从数据库返回的信息，以及预设规则，生成JWT

• 返还JWT：服务器的HTTP RESPONSE中将JWT返还

• 带JWT的请求：以后客户端发起请求，HTTP REQUEST HEADER中的Authorizatio字段都要有值，为JWT

JWT 验证过程

因为自己写的，没有使用框架，所以还是得简单记录一下验证过程

客户端在请求头中带有JWT信息，后端获取$_SERVER[HTTP_AUTHORIZATION]:

不过注意一点，我这个Authorization没有加Bearer,官方使用中就使用了Bearer,你也可以自己使用：

Authorization: Bearer <token>

php 验证伪代码：

<?php
public static function decode(string $jwt, string $key)
    {
        $tokens = explode('.', $jwt);
        $key    = md5($key);

        if (count($tokens) != 3)
            return false;

        list($header64, $payload64, $sign) = $tokens;

        $header = json_decode(self::urlsafeB64Decode($header64), JSON_OBJECT_AS_ARRAY);
        if (empty($header['alg']))
            return false;

        if (self::signature($header64 . '.' . $payload64, $key, $header['alg']) !== $sign)
            return false;

        $payload = json_decode(self::urlsafeB64Decode($payload64), JSON_OBJECT_AS_ARRAY);

        $time = $_SERVER['REQUEST_TIME'];
        if (isset($payload['iat']) && $payload['iat'] > $time)
            return false;

        if (isset($payload['exp']) && $payload['exp'] < $time)
            return false;

        return $payload;
    }

参考文章：
https://jwt.io/introduction/
http://www.cnblogs.com/zjutzz...

• 2017年06月29日发布