PHP实现JWT的Token登录认证

最新推荐文章于 2024-08-18 09:19:19 发布
最新推荐文章于 2024-08-18 09:19:19 发布
阅读量673 收藏
点赞数
文章标签: php
文章来源:https://www.piaodoo.com/
本文链接:https://blog.csdn.net/liming89/article/details/123645956
版权
本文详细介绍了JSON Web Token(JWT)的工作原理、使用方式及其在PHP中的实现。JWT是一种流行的跨域认证解决方案,服务器生成JSON对象并签名,客户端存储并随每次请求发送。文章还提供了JWT的创建、解析及验证的PHP代码示例,并强调了JWT的安全性和管理注意事项。
摘要由CSDN通过智能技术生成

更多python、php教程请到友情连接: 菜鸟教程https://www.piaodoo.com

茂名一技http://www.enechn.com

ppt制作教程步骤 http://www.tpyjn.cn

兴化论坛http://www.yimoge.cn

电白论坛 http://www.fcdzs.com


1、JWT简介

JSON Web Token(缩写 JWT),是目前最流行的跨域认证解决方案。

session登录认证方案:用户从客户端传递用户名、密码等信息,服务端认证后将信息存储在session中,将session_id放到cookie中。

以后访问其他页面,自动从cookie中取到session_id,再从session中取认证信息。

另一类解决方案,将认证信息,返回给客户端,存储到客户端。下次访问其他页面,需要从客户端传递认证信息回服务端。

JWT就是这类方案的代表,将认证信息保存在客户端。

2、JWT 的原理

JWT 的原理是,服务器认证以后,生成一个 JSON格式的 对象,发回给客户端,就像下面这样。

{
"用户名": "admin",
"角色": "超级管理员",
"到期时间": "2019-07-13 00:00:00"
}

以后,客户端与服务端通信的时候,都要发回这个 JSON 对象。服务器完全只靠这个对象认定用户身份。

为了防止用户篡改数据,服务器在生成这个对象的时候,会加上签名(详见后文)。

服务器不再保存任何 session 数据,也就是服务器变成无状态了,从而比较容易实现扩展。

3、JWT 的使用方式

客户端收到服务器返回的 JWT,可以储存在 Cookie 里面,也可以储存在 localStorage。

此后,客户端每次与服务器通信,都要带上这个 JWT。你可以把它放在 Cookie 里面自动发送,但是这样不能跨域,所以更好的做法是放在 HTTP 请求的头信息Authorization字段里面。

Authorization: Bearer <token>

另一种做法是,跨域的时候,JWT 就放在 POST 请求的数据体里面。

4、JWT 的几个特点

  • (1)JWT 默认是不加密,但也是可以加密的。生成原始 Token 以后,可以用密钥再加密一次。
  • (2)JWT 不加密的情况下,不能将秘密数据写入 JWT。
  • (3)JWT 不仅可以用于认证,也可以用于交换信息。有效使用 JWT,可以降低服务器查询数据库的次数。
  • (4)JWT 的最大缺点是,由于服务器不保存 session 状态,因此无法在使用过程中废止某个 token,或者更改 token 的权限。也就是说,一旦 JWT 签发了,在到期之前就会始终有效,除非服务器部署额外的逻辑。
  • (5)JWT 本身包含了认证信息,一旦泄露,任何人都可以获得该令牌的所有权限。为了减少盗用,JWT 的有效期应该设置得比较短。对于一些比较重要的权限,使用时应该再次对用户进行认证。
  • (6)为了减少盗用,JWT 不应该使用 HTTP 协议明码传输,要使用 HTTPS 协议传输。

5、功能实现

JWT功能组件

使用composer安装 JWT 功能组件

composer require lcobucci/jwt 3.3

封装JWT工具类 (参考 https://github.com/lcobucci/jwt/tree/3.3)

extend/tools/jwt/Token.php

<?php
namespace tools\jwt;

use Lcobucci\JWT\Builder;
use Lcobucci\JWT\Parser;
use Lcobucci\JWT\Signer\Hmac\Sha256;
use Lcobucci\JWT\ValidationData;

/**

  • Created by PhpStorm.

  • User: asus

  • Date: 2019/4/5

  • Time: 13:02
    /
    class Token
    {
    private static $_config = [
    ‘audience’ => ‘http://www.pyg.com’,//接收人
    ‘id’ => ‘3f2g57a92aa’,//token的唯一标识,这里只是一个简单示例
    ‘sign’ => ‘pinyougou’,//签名密钥
    ‘issuer’ => ‘http://adminapi.pyg.com’,//签发人
    ‘expire’ => 3600    24 //有效期
    ];

    //生成token
    public static function getToken($user_id){

     //签名对象
 $signer = new Sha256();
 //获取当前时间戳
 $time = time();
 //设置签发人、接收人、唯一标识、签发时间、立即生效、过期时间、用户id、签名
 $token = (new Builder())-&gt;issuedBy(self::$_config['issuer'])
     -&gt;canOnlyBeUsedBy(self::$_config['audience'])
     -&gt;identifiedBy(self::$_config['id'], true)
     -&gt;issuedAt($time)
     -&gt;canOnlyBeUsedAfter($time-1)
     -&gt;expiresAt($time + self::$_config['expire'])
     -&gt;with('user_id', $user_id)
     -&gt;sign($signer, self::$_config['sign'])
     -&gt;getToken();
 return (string)$token;

    }

    //从请求信息中获取token令牌
    public static function getRequestToken()
    {
    if (empty($_SERVER[‘HTTP_AUTHORIZATION’])) {
    return false;
    }

     $header = $_SERVER['HTTP_AUTHORIZATION'];
 $method = 'bearer';
 //去除token中可能存在的bearer标识
 return trim(str_ireplace($method, '', $header));

    }

    //从token中获取用户id (包含token的校验)
    public static function getUserId($token = null)
    {
    $user_id = null;

     $token = empty($token)&#63;self::getRequestToken():$token;

 if (!empty($token)) {
     //为了注销token 加以下if判断代码
     $delete_token = cache('delete_token') &#63;: [];
     if(in_array($token, $delete_token)){
         //token已被删除(注销)
         return $user_id;
     }
     $token = (new Parser())-&gt;parse((string) $token);
     //验证token
     $data = new ValidationData();
     $data-&gt;setIssuer(self::$_config['issuer']);//验证的签发人
     $data-&gt;setAudience(self::$_config['audience']);//验证的接收人
     $data-&gt;setId(self::$_config['id']);//验证token标识

     if (!$token-&gt;validate($data)) {
         //token验证失败
         return $user_id;
     }

     //验证签名
     $signer = new Sha256();
     if (!$token-&gt;verify($signer, self::$_config['sign'])) {
         //签名验证失败
         return $user_id;
     }
     //从token中获取用户id
     $user_id = $token-&gt;getClaim('user_id');
 }

 return $user_id;

    }
    }

修改public/.htaccess文件,通过apache重写,处理HTTP请求中的Authorization字段

(不处理,php中接收不到HTTP_AUTHORAZATION字段信息)

RewriteCond %{HTTP:Authorization} ^(.+)$
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]

测试: application/adminapi/controller/Index.phpindex方法

静态调用封装的\tools\jwt\Token类的getToken方法,传递一个用户id值,生成token

静态调用封装的\tools\jwt\Token类的getUserId方法,传递一个token,获取用户id

访问结果

到此这篇关于PHP实现JWT的Token登录认证的文章就介绍到这了。希望对大家的学习有所帮助,也希望大家多多支持菜鸟教程www.piaodoo.com。

liming89
关注
一文详解jwt token以及sprig boot如何整合实现 jwt token操作
念兮为美
09-26 1760
一文详解jwt token以及sprig boot如何整合实现 jwt token操作。
php jwt token 解析,jwt认证生成后的token如何传回后端并解析的详解
weixin_34648437的博客
04-01 1006
jwt认证生成后的token后端解析一.首先前端发送tokentoken所在的位置headers{'authorization':token的值',Content-Type':application/json}在ajax写//只展示headers部分代码headers:{"authorization":this.$cookies.get("token")}//token值一般是放在cookies里...
基于JWTToken登录认证
m0_46107486的博客
02-12 526
一、JWT简介 JSON Web Token ,是目前最流行的跨域认证解决方案 session登录认证方案:用户从客户端传递用户名,密码等信息,服务端认证后将信息存储 到session中,将session_id放到cookie中 以后访问其他页面,自动从cookie中取出ses...
JWT token 跨域认证
weixin_30918415的博客
08-02 523
JSON Web Token(缩写 JWT),是目前最流行的跨域认证解决方案。 session登录认证方案:用户从客户端传递用户名、密码等信息,服务端认证后将信息存储在session中,将session_id放到cookie中。 以后访问其他页面,自动从cookie中取到session_id,再从session中取认证信息。 另一类解决方案,将认证信息,返回给客户端,存储到客户端...
JWT中的Token
最新发布
m0_64245578的博客
08-18 731
jwt(json web token的缩写)是一个开放标准(rfc7519),它定义了一种紧凑的、自包含的方式,用于在各方之间以json对象安全地传输信息,此信息可以验证和信任,因为它是数字签名的,jwt可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对,进行签名。通俗解释:JWT简称JSON Web Token,也就是通过JSON形式作为Web应用中的令牌,用于在各方之间安全地将信息作为JSON对象传输,在数据传输过程中还可以完成数据加密、签名等相关处理。
基于JWT前后端token认证
java小酱油
03-10 3万+
JWT简介 JWT(json web token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。 JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。比如用在用户登录上。 基于session的登录认证 在传统的用户登录认证中,因为http是无状态的,所以都是采用session方式。用户登录成功,服务端会保证一个sessi
用户登录 JWT TOKEN
jweicao的博客
06-10 1181
引入 jwt 扩展 安装jwt 扩展 composer require firebase/php-jwt 直接在 composer.json / require / 下 云行 composer update 更新 "firebase/php-jwt": "^5.2", 控制器 public function login(Request $request) { //接收表单参数 $params = input(); // 用来 捕获错误
JWT token心得与使用实例
热门推荐
God Liao On The Way
06-20 6万+
本文你能学到什么?token的组成 token串的生成流程。 token在客户端与服务器端的交互流程 Token的优点和思考 参考代码:核心代码使用参考,不是全部代码JWT token的组成头部(Header),格式如下: { “typ”: “JWT”, “alg”: “HS256” } 由上可知,该token使用HS256加密算法,将头部使用Base64编码可得到如下个格式的字符
Laravel Api实现JWT Token认证
m0_37742411的博客
11-18 3151
在开发Api时,处理客户端请求之前,需要对用户进行身份认证,Laravel框架默认为我们提供了一套用户认证体系,在进行web开发时,几乎不用添加修改任何代码,可直接使用,但在进行api开发时,需要我们自己去实现,并且Laravel框架默认提供的身份认证不是jwt的,需要在数据库中增加api_token字段,记录用户认证token并进行身份校验,如果需要使用jwt,无需添加字段,需要借助三方库来实现。 目录 Token认证原理 JWT概述 实现方法 Token认证原理 客户端发送认证信息
php实现JWT(json web token)鉴权实例详解
10-16
JSON Web Token (JWT) 是一种安全的身份验证和授权机制,常用于API的无状态认证。在PHP实现JWT鉴权,通常涉及以下几个关键步骤和概念: 1. **JWT的结构**: JWT由三部分组成:Header、Payload和Signature。...
php 后端实现JWT认证方法示例
10-18
PHP后端实现JWT认证详解】 JSON Web Token (JWT) 是一种轻量级的身份验证机制,常用于API安全。JWT将用户信息加密在一个令牌中,这样服务器无需存储用户会话信息,只需验证令牌的正确性即可确认用户身份。相较于...
JWT 生成Token及验证
01-22
JWT生成token及验证(过期时间)用于前后断分离,及APP认证,可结合redis使用也可单独使用。
thinkphp5框架API token身份验证功能示例
10-16
主要介绍了thinkphp5框架API token身份验证功能,结合实例形式分析了thinkPHP5基于token的身份验证操作步骤与实现技巧,需要的朋友可以参考下
JWT-token
qq_25140429的博客
03-13 191
最近因为项目需要,使用的jwt做验权处理,开始接触jwt,记录一点所看文档及代码的心得。使用过jwt的人都知道生成的token是eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.XbPfbIHMI6arZ3Y922BhjWgQ...
使用jwt生成token登录
HolmesW的博客
04-15 205
使用jwt生成token登录 导入jwt的依赖 <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1</version> </dependency> 生成token和解析token的工具类(
关于JWTToken
架构专栏
07-04 1万+
关于 Token token 即使是在计算机领域中也有不同的定义,这里我们说的token,是指访问资源的凭据。例如当你调用Google API,需要带上有效 token 来表明你请求的合法性。这个 token 是 Google 给你的,这代表 Google 给你的授权使得你有能力访问 API 背后的资源。 请求 API 时携带 token 的方式也有很多种,通过 HTTP Header 或者 ...
JWT-token介绍
qq_43667836的博客
09-19 1504
token的意思是“令牌”,是服务端生成的一串字符串,作为客户端进行请求的一个标识。 JWT(json web token) 的原理是,服务器认证以后,生成一个 JSON 对象,发回给用户 { "姓名": "张三", "角色": "管理员", "到期时间": "2022年7月11日0点0分" } 用户与服务端通信的时候,都要发回这个 JSON 对象。服务器完全只靠这个对象认定用户身份。 当然,为了防止用户篡改数据,服务器在生成这个对象的时候,会给他加密一下,就是我们看到的一个长长的字符串 出现解
session与token
Uzizi的博客
07-30 471
基于session认证所显露的问题 Session: 每个用户经过我们的应用认证之后,我们的应用都要在服务端做一次记录,以方便用户下次请求的鉴别,通常而言session都是保存在内存中,而随着认证用户的增多,服务端的开销会明显增大。 扩展性: 用户认证之后,服务端做认证记录,如果认证的记录被保存在内存中的话,这意味着用户下次请求还必须要请求在这台服务器上,这样才能拿到授权的资源,这样在分布式的...
JwtToken详解
星辰的动态博客
09-16 2万+
​ 简单来说,token就是一种身份验证方法,和cookie有相似作用;它被很多人翻译过来后生动的称为“令牌”,它的扩展性,安全性更高,非常适合用在Web应用和移动开发应用上。 1.1token验证流程 ​ 使用token身份验证,服务器端就不会存储用户的登录记录。 (1)客户端使用用户名跟密码请求登录; (2)服务端收到请求,去验证用户名与密码; (3)验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端; (4)客户端收到 Token 以后可以把它存储起来,比如放在 Cookie
php实现token登录
09-03
通过以上步骤,可以实现token登录的功能,并提供一种安全、高效的身份验证方法,避免了传统的基于会话的认证方式中需要保存用户状态的问题。同时,token登录还具有跨平台、跨语言的特性,使得不同系统之间的身份验证...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值