jwt token php实例结合ci钩子实现身份认证

最新推荐文章于 2021-03-21 04:27:26 发布
最新推荐文章于 2021-03-21 04:27:26 发布
阅读量1.9k 收藏 1
点赞数
分类专栏: 用户身份认证 文章标签: jwt token ci 钩子

JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。其

JWT的组成

一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。
载荷(Payload)

{ “iss”: “Online JWT Builder”,
“iat”: 1416797419,
“exp”: 1448333419,
“aud”: “www.example.com”,
“sub”: "jrocket@example.com",
“GivenName”: “Johnny”,
“Surname”: “Rocket”,
“Email”: "jrocket@example.com",
“Role”: [ “Manager”, “Project Administrator” ]
}
iss: 该JWT的签发者,是否使用是可选的;
sub: 该JWT所面向的用户,是否使用是可选的;
aud: 接收该JWT的一方,是否使用是可选的;
exp(expires): 什么时候过期,这里是一个Unix时间戳,是否使用是可选的;
iat(issued at): 在什么时候签发的(UNIX时间),是否使用是可选的;
其他还有:
nbf (Not Before):如果当前时间在nbf里的时间之前,则Token不被接受;一般都会留一些余地,比如几分钟;,是否使用是可选的;
将上面的JSON对象进行[base64编码]可以得到下面的字符串。这个字符串我们将它称作JWT的Payload(载荷)。

eyJpc3MiOiJKb2huIFd1IEpXVCIsImlhdCI6MTQ0MTU5MzUwMiwiZXhwIjoxNDQxNTk0NzIyLCJhdWQiOiJ3d3cuZXhhbXBsZS5jb20iLCJzdWIiOiJqcm9ja2V0QGV4YW1wbGUuY29tIiwiZnJvbV91c2VyIjoiQiIsInRhcmdldF91c2VyIjoiQSJ9
小知识:Base64是一种基于64个可打印字符来表示二进制数据的表示方法。由于2的6次方等于64,所以每6个比特为一个单元,对应某个可打印字符。三个字节有24个比特,对应于4个Base64单元,即3个字节需要用4个可打印字符来表示。JDK 中提供了非常方便的 BASE64Encoder 和 BASE64Decoder,用它们可以非常方便的完成基于 BASE64 的编码和解码

头部(Header)
JWT还需要一个头部,头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。这也可以被表示成一个JSON对象。

{
“typ”: “JWT”,
“alg”: “HS256”
}
在头部指明了签名算法是HS256算法。
当然头部也要进行BASE64编码,编码后的字符串如下:

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9
签名(Signature)
将上面的两个编码后的字符串都用句号.连接在一起(头部在前),就形成了:

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJmcm9tX3VzZXIiOiJCIiwidGFyZ2V0X3VzZXIiOiJBIn0
最后,我们将上面拼接完的字符串用HS256算法进行加密。在加密的时候,我们还需要提供一个密钥(secret)。如果我们用mystar作为密钥的话,那么就可以得到我们加密后的内容:

rSWamyAYwuHCo7IFAgd1oRpSP7nzL7BF5t7ItqpKViM
最后将这一部分签名也拼接在被签名的字符串后面,我们就得到了完整的JWT:

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJmcm9tX3VzZXIiOiJCIiwidGFyZ2V0X3VzZXIiOiJBIn0.rSWamyAYwuHCo7IFAgd1oRpSP7nzL7BF5t7ItqpKViM
在我们的请求URL中会带上这串JWT字符串:

https://your.awesome-app.com/make-friend/?jwt=eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJmcm9tX3VzZXIiOiJCIiwidGFyZ2V0X3VzZXIiOiJBIn0.rSWamyAYwuHCo7IFAgd1oRpSP7nzL7BF5t7ItqpKViM
认证过程

下面我们从一个实例来看如何运用JWT机制实现认证:

登录

第一次认证:

  1. 第一次登录,用户从浏览器输入用户名/密码,提交后到服务器的登录处理的Action层(Login Action);
  2. Login Action调用认证服务进行用户名密码认证,如果认证通过,Login Action层调用用户信息服务获取用户信息(包括完整的用户信息及对应权限信息);Login Action调用认证服务进行用户名密码认证,如果认证通过,Login Action层调用用户信息服务获取用户信息(包括完整的用户信息及对应权限信息);
  3. 返回用户信息后,Login Action从配置文件中获取Token签名生成的秘钥信息,进行Token的生成;返回用户信息后,Login Action从配置文件中获取Token签名生成的秘钥信息,进行Token的生成;
  4. 生成Token的过程中可以调用第三方的JWT Lib生成签名后的JWT数据;生成Token的过程中可以调用第三方的JWT Lib生成签名后的JWT数据;
  5. 完成JWT数据签名后,将其设置到COOKIE对象中,并重定向到首页,完成登录过程;

请求认证

基于Token的认证机制会在每一次请求中都带上完成签名的Token信息,这个Token信息可能在COOKIE
中,也可能在HTTP的Authorization头中;

  1. 客户端(APP客户端或浏览器)通过GET或POST请求访问资源(页面或调用API);
  2. 认证服务作为一个Middleware HOOK 对请求进行拦截,首先在cookie中查找Token信息,如果没有找到,则在HTTP Authorization Head中查找;
  3. 如果找到Token信息,则根据配置文件中的签名加密秘钥,调用JWT Lib对Token信息进行解密和解码;如果找到Token信息,则根据配置文件中的签名加密秘钥,调用JWT Lib对Token信息进行解密和解码;
  4. 完成解码并验证签名通过后,对Token中的exp、nbf、aud等信息进行验证;
  5. 全部通过后,根据获取的用户的角色权限信息,进行对请求的资源的权限逻辑判断;
    如果权限逻辑判断通过则通过Response对象返回;否则则返回HTTP 401;

对Token认证的五点认识

对Token认证机制有5点直接注意的地方:

  1. 一个Token就是一些信息的集合;
  2. 在Token中包含足够多的信息,以便在后续请求中减少查询数据库的几率
  3. 服务端需要对cookie和HTTP Authrorization Header进行Token信息的检查
  4. 基于上一点,你可以用一套token认证代码来面对浏览器类客户端和非浏览器类客户端;
  5. 因为token是被签名的,所以我们可以认为一个可以解码认证通过的token是由我们系统发放的,其中带的信息是合法有效的;

以下是本人写的一个基于ci框架的demo

登陆方法
前端通过ajax请求login:参数用户名,密码

public function login()
	{
		$params = $this->input->post();
		$userinfo = $this->db->where("username",trim($params['username']))->where("password",md5(trim($params['password'])))->get('user')->row();
		if($userinfo){//验证用户合法生成token
			$token = $this->get_token(array('uid'=>$userinfo->id,'username'=>$userinfo->username));
			echo 1;//这里获取token
		}else{
			echo 0;//否则用户不存在
		}
	}

token获取方法可以封装到一个model里调用,这里测试直接写道action里
以下方式是将token设置到cookie里,这样浏览器下次请求就可以直接带着这个token了,就像以前你熟悉的sessionid一样,然后后台通过cookie取出token验证合法性,就是去比对你服务器存储的token,是否存在,是否过期等

private function get_token($data)
	{
		$this->load->helper('cookie');
		$array = array(
				"iat"=> time(),          // issued At签发时间
			    "exp"=> time()+7200,          // Expiration Time,过期时间
			    "nbf"=> time()+60,     //该时间之前不接收处理该Token
			    "iss"=> "John Wu JWT",        // Issuer,该JWT的签发者,个人理解随意定义
			    "aud"=> "localhost",    // Audience,该JWT的接收者,个人理解服务器标识,可以写你的域名
			    "uid"=> $data['uid'],//以下是用户id等信息,不要放敏感信息和太多信息,一般放用户id,和用户名
			    "username"=> $data['username'],
			);
		$secret  = 'localhost';
		$header  = base64_encode(json_encode(array('typ'=>'JWT','alg'=>'HS256')));
		$payload = base64_encode(json_encode($array));
		$token = $header.'.'.$payload.hash_hmac('sha256',$header.'.'.$payload,$secret);
		set_cookie('x-access-token',$token,7200);//将生成的token设置到cookie里
	}

经过上一步登陆就完成了,然后调用其它受登录保护的接口时就可以在后端设置拦截器验证用户身份,通过才返回数据,否则就是非法调用

codeigniter框架可以通过hooks钩子,对权限接口做一个拦截器,而不需要去改动框架的Controller.php文件,关于钩子的用法这里就不多说了,官方文档都有,需要注意的是,权限接口拦截器最好使用post_controller_constructor这个钩子是 在你的控制器实例化之后立即执行,控制器的任何方法都还尚未调用

另外,通过cookie传递token是模仿了session与cookie机制,而且是基于浏览器等支持cookie的客户端的,前端也可以通过ajax设置http的header来传输token,还有一种比较普通的方式就是直接通过post或get传递token,相信你最初接触token就是用的这种,比较麻烦,每个接口都要额外传token,如果你是app应用,那么你就不能使用cookie这种方式了

qq_24074585
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php 后端实现JWT认证方法示例
12-19
JWT是什么 JWT是json web token缩写。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。基于token的身份验证可以替代传统的cookie+session身份验证方法。 它定义了一种用于简洁,自包含的用于通信双方之间以 JSON 对象的形式安全传递信息的方法。JWT 可以使用 HMAC 算法或者是 RSA 的公钥密钥对进行签名。它具备两个特点: 简洁(Compact):可以通过URL, POST 参数或者在 HTTP header 发送,因为数据量小,传输速度快 自包含(Self-contained
JWT - 令牌认证(认证流程和原理、Jwt 工具类、搭配 Redis 使用)
最新发布
CYK_byte的博客
10-13 1万+
1. 首先前端将用户名和密码发送给后端,后端对用户名和密码校验成功后,会将用户 id 和其他信息作为 payload ,然后将其分别进行 Base64 编码,拼接,最后再签名,形成一个 JWTToken). 形成的 JWT 就形同 xxx.yyy.zzz 这种结构的字符串.http 协议是一种无状态的协议,也就意味着当用户第一次通过用户名和密码登录成功以后,下一次再请求的时候,用户还需要再进行登录才行,因为根据 http 协议,我们不能知道是哪个用户发出的请求.
ci3-restful-jwt:学会用jwt使人安心
05-20
什么是CodeIgniter CodeIgniter是一个应用程序开发框架-一个工具包-适用于使用PHP构建网站的人们。 它的目标是通过提供一组丰富的库来执行常见任务,并提供简单的界面和逻辑结构来访问这些库,从而使您比从头开始编写代码时更快地开发项目。 CodeIgniter使您可以最大限度地减少给定任务所需的代码量,从而创造性地专注于您的项目。 发布信息 此存储库包含将来版本的开发中代码。 要下载最新的稳定版本,请访问页面。 变更日志和新功能 您可以在 找到每个版本的所有更改的列表。 服务器要求 建议使用PHP 5.6或更高版本。 它也应该在5.3.7上运行,但是我们强烈建议您不要运行此类旧版本PHP,因为这可能会导致安全性和性能问题以及缺少的功能。 安装 请参阅《 CodeIgniter用户指南》的。 执照 请参阅。 资源 用户指南 语言文件翻译 社区论坛 社区维基 社区闲散频道
php ci try catch,PHP JWT CI 框架
weixin_28543661的博客
03-10 257
composer.json"require": {..."nesbot/carbon": "^1.25","firebase/php-jwt": "^5.0"},/*** CI框架 helper自建文件 **************************//*** 校验jwt是否有效* @param string $jwt* @return array|bool 有效则返回 jwt 数组,无效...
CodeIgniter-JWT-Sample:CodeIgniter JWT示例
02-05
使用CodeIgniter 4的CodeIgniter-JWT-Sample 简单的CodeIgniter 4 JWT实现。 想要使用CodeIgniter 3的开发人员: 使用以下命令切换到CodeIgniter 3分支 git checkout CI3 使用此仓库进行设置 在php服务器XAMPP / WAMP上克隆此项目。 该项目使用[Composer]( )作为Dependency Manager 使用以下命令自动安装所需的依赖项 作曲家安装 在/app/Config/Services.php更改line 23 secret key 使用Postman或任何其他Rest C
CI框架之微信公众平台之验证token,提交url成功
langmanzaiyuzhong的专栏
01-26 398
第一步 首先注册账号成为开发者。第二步 把图片上的token对应的值写入框架的constants.php配置文件中。 图片上的url为自己的项目路径。直接指向入口文件就行了。 token的值只要和配置文件中的token一样就行了,不一定是weixin ,可以随意定义。 constants.php中这样定义: define('TOKEN', 'weixin'); 接下来就可以做验证的...
php 项目 jwt,php jwt使用
weixin_35044595的博客
03-17 352
安装使用composer管理依赖项并下载PHP-JWT:composer require firebase/php-jwt示例 1// 北京时间date_default_timezone_set("PRC");require_once "vendor/autoload.php";use \Firebase\JWT\JWT;$key = "sdqazxsw2@)!<$time = time()...
php实现JWT(json web token)鉴权实例详解
01-03
基于token的身份验证可以替代传统的cookie+session身份验证方法。 JWT由三个部分组成:header.payload.signature 以下示例以JWT官网为例 header部分: { alg: HS256, typ: JWT } 对应base64UrlEncode编码为:...
基于Java验证jwt token代码实例
08-25
基于Java验证jwt token代码实例是指使用Java语言来验证JSON Web TokenJWT)的代码实现JWT是一种常用的身份验证机制,通过使用密钥对和加密算法来生成和验证token。 在这个代码实例中,使用了 Java 语言和Auth0...
详解JWT token心得与使用实例
01-21
JWT token的组成 头部(Header),格式如下: { “typ”: “JWT”, “alg”: “HS256” } 由上可知,该token使用HS256加密算法,将头部使用Base64编码可得到如下个格式的字符串: eyJhbGciOiJIUzI1NiJ9 有效...
JWT Token实现方法及步骤详解
09-07
JSON Web Token (JWT) 是一种安全的身份验证和信息传输机制,尤其在前后端分离的应用架构中广泛应用。JWT 用于在不同系统之间安全地传递信息,尤其是用户认证信息,且无需在每次请求时与服务器交互。它由三部分组成...
laravel 之jwt认证使用详解
weixin_30696427的博客
03-05 314
转载http://www.heibaiketang.com/blog/show/3.html https://packagist.org/packages/tymon/jwt-auth#1.0.0-rc.2 jwt介绍 JWT(JSON Web Token)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。 一个JWT实际上就是一个字符串,它...
php hs256加密,JWT签名算法中HS256和RS256有什么区别
weixin_29306571的博客
03-19 802
JWT签名算法中,一般有两个选择,一个采用HS256,另外一个就是采用RS256。签名实际上是一个加密的过程,生成一段标识(也是JWT的一部分)作为接收方验证信息是否被篡改的依据。RS256 (采用SHA-256 的 RSA 签名) 是一种非对称算法, 它使用公共/私钥对: 标识提供方采用私钥生成签名, JWT 的使用方获取公钥以验证签名。由于公钥 (与私钥相比) 不需要保护, 因此大多数标识提供...
php集成管理,codeigniter3集成composer管理工具
weixin_34163588的博客
03-11 224
前言,希望codeigniter4早点发布吧,目前还有项目用的codeigniter3,想用github上那么多优秀的第三方库,曾怎么办呢?而且这些库基本都是通过composer安装的,下面介绍集成composer包管理器方法:1、安装composer,这点不赘述了。2、项目根目录新建composer.json文件,比如我现在ci中要使用一个jwt库{"require": {"firebase/p...
php hook类,基于 CodeIgniter 构建 JWT RESTfull API Server
weixin_42507297的博客
03-21 362
CodeIgniter下载后,解压至当前文件夹,你会得到一个CodeIgniter-3.1.7的文件夹,将它重命名为你喜欢的项目名,我的是JWT-RESTfull-IN-CI-Tutorial,如图所示:启动项目接下来,用 IDE 或者其他什么,例如 PhpStorm、NetBeans、Sublime 等打开这个 CI 项目,当然我这里用的 vscode,不过都差不多了。打开 vscode...
web 开发中jwt的使用
一路奔跑94的博客
04-28 2832
摘要: 在Web应用中,使用JWT替代session并不是个好主意 适合JWT的使用场景 抱歉,当了回标题党。我并不否认JWT的价值,只是它经常被误用。 网友看法: jwt最致命的问题,就是将用户标识明文(base64等同明文)的放在客户端,而且单一依赖同一个secret。一旦secret被泄露,那攻击者就可以毫不费力的冒充所有用户。而不幸的是,secret的保护并不足够:1. 一般作为配...
php加密方式:SHA256方法
weixin_39190732的博客
06-29 6908
**私钥加密:** ksort( $params );//数组排序 $signData = implode( '', $params ); $pi_key = openssl_pkey_get_private($rsaPriKey);//私钥 $signature =''; openssl_sign( $signData, $signature, $pi_key, OPENSSL_ALGO_SHA256 ); openssl_free_key($pi_key); $p
RS256加密JWT生成、验证
热门推荐
张林强的专栏
04-16 2万+
最近项目上由于集成需求,需要实现单点登录,经过考虑后选择了JWT,RS256公私玥加密方式实现,搜索后发现基于RS256的实现不太多,大多基于HS256对称加密,加密解密用同一SecretKey,泄漏后安全方面彻底崩坏,有些提到RS256的都是一些支离破碎的代码,没有什么参考价值。经过google,加上自己的整理,关键demo代码整理如下:import junit.framework.TestCa...
jwt token怎么实现
05-01
JWT(JSON Web Token)是一种用于身份验证的开放标准(RFC 7519),它可以在网络应用间安全地传输信息。JWT 通常由三部分组成:头部、载荷和签名。 1. 头部(Header):头部通常由两部分组成:令牌类型和所使用的签名算法。例如: ``` { "alg": "HS256", "typ": "JWT" } ``` 其中,`alg` 表示签名算法,`typ` 表示令牌类型。 2. 载荷(Payload):载荷包含要传输的信息,可以是用户身份信息、权限信息、业务数据等。例如: ``` { "sub": "1234567890", "name": "John Doe", "iat": 1516239022 } ``` 其中,`sub` 表示主题,即令牌的拥有者;`iat` 表示令牌的颁发时间。 3. 签名(Signature):签名用于验证消息是否被篡改。签名通常由头部、载荷、密钥三部分组成,并使用指定的签名算法生成。例如: ``` HMACSHA256( base64UrlEncode(header) + "." + base64UrlEncode(payload), secret) ``` 其中,`secret` 表示密钥。 JWT 的具体实现可以参考各种编程语言的 JWT 库,例如 Python 的 PyJWT。使用 JWT 可以提高应用的安全性和效率,但需要注意密钥的保护和刷新等问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值