php处理jwt

最新推荐文章于 2023-03-05 17:54:18 发布
最新推荐文章于 2023-03-05 17:54:18 发布
阅读量544 收藏
点赞数 1
分类专栏: php 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35043734/article/details/110878001
版权

首先来一波jwt的深入了解

这一波内容是翻阅了各种资料,然后进行整合,得出了以下文章。

jwt是什么

JWT是json web token缩写。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。基于token的身份验证可以替代传统的cookie+session身份验证方法。

jwt由什么组成

由三部分组成,分别是header.payload.signature

jwt官网地址

https://jwt.io/

第二波jwt的分解

header(头部)

承载两部分信息:

1:声明类型,这里是jwt:

2:声明加密的算法 通常直接使用 HMAC SHA256 SHA512

完整的头部就像下面这样的JSON:

$header=array(
        'alg'=>'HS512', //生成signature的算法,可更换
        'typ'=>'JWT'  //类型,可更换
    );

payload(载荷:存放有效信息的地方)

一般包括以下这些,但是不强制

  • iss: jwt签发者
  • sub: jwt所面向的用户
  • aud: 接收jwt的一方
  • exp: jwt的过期时间,这个过期时间必须要大于签发时间
  • nbf: 定义在什么时间之前,该jwt都是不可用的
  • iat: jwt的签发时间
  • jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。

例如一会我给的例子中就只包括了login_user_key

格式如下:

{
    "login_user_key":"11111111111111111111111"
}

signature(验证签证信息)

base64UrlEncode(header) + "." + base64UrlEncode(payload),secret

第三波 jwt的一般使用流程

  1. 初次登录:用户输入账号密码开始进行登录,并且进行密码验证
  2. 生成jwt:服务器验证通过了,然后开始生成jwt,并且返回给前端,其他所有接口将jwt作为头部或者其他进行传入。
  3. 验证jwt:服务器验证jwt是否正确,正确的话根据带回的信息再去处理自己的逻辑
  4. 备注:为了加强安全性,大家可以在其中加入前缀,后缀,验证段进行再次加密等形式

 

第四波 php实现jwt的代码

直接运行本代码段的tets即可

<?php
class LoginToken 
{
    //头部
    private static $header=array(
        'alg'=>'HS512', //生成signature的算法
        'typ'=>'JWT'  //类型
    );

    //使用HMAC生成信息摘要时所使用的密钥
    private static $key='';

    /**
    * 获取jwt token
    * @param array $payload jwt载荷  格式如下非必须
    * [
    * 'iss'=>'jwt_admin', //该JWT的签发者
    * 'iat'=>time(), //签发时间
    * 'exp'=>time()+7200, //过期时间
    * 'nbf'=>time()+60, //该时间之前不接收处理该Token
    * 'sub'=>'www.admin.com', //面向的用户
    * 'jti'=>md5(uniqid('JWT').time()) //该Token唯一标识
    * ]
    * @return bool|string
    */
    public static function getToken(array $payload)
    {
        if(is_array($payload)){
            $base64header=self::base64UrlEncode(json_encode(self::$header,JSON_UNESCAPED_UNICODE));
            $base64payload=self::base64UrlEncode(json_encode($payload,JSON_UNESCAPED_UNICODE));
            $token=$base64header.'.'.$base64payload.'.'.self::signature($base64header.'.'.$base64payload,self::$key,self::$header['alg']);
            return $token;
        }else{
            return false;
        }
    }

    /**
    * 验证token是否有效,默认验证exp,nbf,iat时间
    * @param string $Token 需要验证的token
    * @return bool|string
    */
    public static function verifyToken(string $Token){
        $prefix_lenght = strlen(self::$token_prefix);
        $Token = substr($Token, $prefix_lenght);
        $tokens = explode('.', $Token);
        if (count($tokens) != 3){
            return false;
        }
        list($base64header, $base64payload, $sign) = $tokens;
        //获取jwt算法
        $base64decodeheader = json_decode(self::base64UrlDecode($base64header), JSON_OBJECT_AS_ARRAY);
        if (empty($base64decodeheader['alg'])){
            return false;
        }

        //签名验证--如果是验证其他项目或者人生成的jwt,signature可能需要修改,因为很多人为了安全会多加几层验证或者修改验证方式,毕竟这层有点像摘要放篡改是一个道理。以下代码中的为标准的
        if (self::signature($base64header . '.' . $base64payload, self::$key, $base64decodeheader['alg']) !== $sign){
            return false;
        }
        $payload = json_decode(self::base64UrlDecode($base64payload), JSON_OBJECT_AS_ARRAY);
        if(empty($payload['login_user_key'])){
            return false;
        }
        return $payload;
    }

    /**
    * base64UrlEncode  https://jwt.io/ 中base64UrlEncode编码实现
    * @param string $input 需要编码的字符串
    * @return string
    */
    private static function base64UrlEncode(string $input)
    {
        return str_replace('=', '', strtr(base64_encode($input), '+/', '-_'));
    }

    /**
    * base64UrlEncode https://jwt.io/ 中base64UrlEncode解码实现
    * @param string $input 需要解码的字符串
    * @return bool|string
    */
    private static function base64UrlDecode(string $input)
    {
        $remainder = strlen($input) % 4;
        if ($remainder) {
            $addlen = 4 - $remainder;
            $input .= str_repeat('=', $addlen);
        }
        return base64_decode(strtr($input, '-_', '+/'));
    }

    /**
    * HMACSHA256签名  https://jwt.io/ 中HMACSHA256签名实现
    * @param string $input 为base64UrlEncode(header).".".base64UrlEncode(payload)
    * @param string $key
    * @param string $alg  算法方式
    * @return mixed
    */
    private static function signature(string $input, string $key, string $alg = 'HS512'){
        $alg_config=array(
            'HS512'=>'sha512'
        );
        return self::base64UrlEncode(hash_hmac($alg_config[$alg], $input, $key,true));
    }

    private static function apiIsToken($token){
        //先验证信息是否正确并且获取token
        $getPayload=$this->verifyToken($token);
        if($getPayload){
            return $getPayload;
        }else{
            return false;
        }
    }

    /*
     *验证段
     */
    public function test(){
        $payload=array('sub'=>'1234567890','name'=>'John Doe','iat'=>1516239022);
		$token=$this->getToken($payload);//注释1
		echo "<pre>";
		echo $token;

        $token = '本处传入需要测试的jwt';//也可以注释这行代码 直接用注释1的token
        $info = $this->apiIsToken($token);
        var_dump($info);
    }
}

第五波 jwt官网验证

去到官网按下图输入,用于多人之间相互对接时解决困难使用的

 

欢迎各位老铁踩踩

打工人007
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
PHP利用JWT refresh_token获取新access_token
m0_69254007的博客
04-26 299
确保在实际环境中处理异常和错误,并且使用更安全的方法来生成密钥和tokens。PHP利用JWT refresh_token获取新token。在PHP中使用JWT(JSON Web Tokens)来刷新。的过期时间较长,例如7天。,如果有效,则生成一个新的。当用户登录时,生成一个。
php中token的生成和解析(使用JWT
qq_39545346的博客
02-06 3580
什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519)。该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 为什么使用JWT 传统的基于session的认证,在随着不同客户端用户的增加,独立的服务
PHP JWT简易使用
weixin_45100995的博客
03-01 4673
今天突然就想用一下jwt生成一下token,那么说干就干 首先我先下载了一下composer composer.phar 下载到本地以后,通过cmd命令行进行下载php-jwt,命令为: php composer.phar require firebase/php-jwt 图片效果 vendor文件夹下就有我们所想要的文件 现在我们移入我们的根目录 现在我们进入登录页面,然后进行发放token,第一个框是账户,第二个是密码 这里是我们jwt.html 的源码 <!doctype html&
PHP使用jwt生成token
qq_43541894的博客
03-05 518
PHP使用jwt生成token,不使用数据库验证用户身份
php 后端实现JWT认证方法
weixin_38921544的博客
11-03 242
<?php /** * Created by PhpStorm. * User: TZ * Date: 2020/6/19 * Time: 10:01 */ if (!defined('BASEPATH')) exit('No direct script access allowed'); class Jwt_model extends CI_Model{ public function index(){ return 123; } //头部 .
PHP jwt类库
07-31
**PHP JWT类库详解** JWT(JSON Web Token)是一种轻量级的身份验证机制,用于在分布式系统中安全地传输信息。...在实际应用中,还需要考虑如何存储和管理密钥,以及如何处理JWT过期和刷新等问题。
php-jwt:一个文件
03-03
**PHP-JWT:理解JWT身份验证机制** 在Web应用程序中,安全地管理用户身份和权限是至关重要的。JSON Web Tokens(JWT)是一种轻量级的身份验证标准,它被广泛用于API认证,特别是在PHP开发中。PHP-JWT库是实现这个...
php JWT在web端中的使用方法教程
10-18
PHP中,可以使用`php-jwt`这样的第三方类库来简化JWT的生成和验证,提供更丰富的功能和错误处理。 6. **安全性考虑**: - 密钥(secret)应妥善保管,避免泄露。 - 适当设置JWT的过期时间,以防止长期有效的...
jwt认证
02-25
PHP环境中,你可能需要了解如何安装和使用PHP JWT库,理解HTTP请求头中的`Authorization`字段,以及如何在API路由中设置中间件来处理JWT验证。 文件名`jwt-auth-main`可能是一个PHP项目的核心认证文件,包含了JWT...
JwtPhpSample:JWT PHP示例
05-24
PHP中,我们可以使用`firebase/php-jwt`库来处理JWT。这个库提供了生成和验证JWT的功能。首先,我们需要安装这个库,可以通过Composer来完成: ```bash composer require firebase/php-jwt ``` 接下来,我们创建...
phpjwt资源
08-28
网上找jwt的资源找了很久,给的方法一直都是自己装composer,然后使用composer去下载jwt库,其实这个库是可以直接使用的,这里我已经下载好了,方便新手直接使用jwt,使用时记得将vendor中的autoload.php include进文件就可以了
php实现JWT(json web token)鉴权实例详解
10-16
主要介绍了php实现JWT(json web token)鉴权实例详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
php-jwt:适用于PHP 7的JSON Web令牌(JWT)实现
05-06
适用于PHP 7的JSON Web令牌(JWT)实现 智威汤逊 在此处阅读有关JWT的更多信息: 执照 使用前请检查条款。 支持的算法 HS256 HS384 HS512 RS256 RS384 RS512 安装 您可以通过运行composer命令将此软件包添加到您的项目中: composer require nowakowskir/php-jwt 确保您的供应商自动加载文件已正确加载,并且使用了以下类。 use Nowakowskir\JWT\JWT; use Nowakowskir\JWT\TokenDecoded; use Nowakowskir\JWT\TokenEncoded; 元素 使用此程序包时,将主要使用两个类: TokenEncoded和TokenDecoded 。 您可以像下面这样转换这些类的对象: TokenEncoded => TokenDecod
PHP后端是如何实现JWT认证的
疯子源
05-24 474
什么是JSON Web Token? JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间以JSON方式安全地传输信息。由于此信息是经过数字签名的,因此可以被验证和信任。可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对对JWT进行签名。 直白的讲jwt就是一种用户认证(区别于session、cookie)的解决方案。 出现的背景 众所周知,在jwt出现之前,我们已经有session、cookie来解决用户登录等
php jwt解密token,php实现JWT(json web token)鉴权实例详解
weixin_36378232的博客
03-10 1640
{"alg": "HS256","typ": "JWT"}对应base64UrlEncode编码为:eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9说明:该字段为json格式。alg字段指定了生成signature的算法,默认值为 HS256,typ默认值为JWTpayload部分:{"sub": "1234567890","name": "John Doe","iat":...
Jwt选型和实现
qq_45317823的博客
02-19 490
package com.zhjt.zhdataexchange.utils; import io.jsonwebtoken.*; import org.springframework.boot.context.properties.ConfigurationProperties; import org.springframework.stereotype.Component; import jav...
php get请求_JWT+PHP实现登录认证+令牌分发的修改
weixin_39694174的博客
11-23 251
背景:介绍用户登录鉴权流程用户使用用户名密码来请求服务器服务器进行验证用户的信息服务器通过验证发送给用户一个token客户端存储token,并在每次请求时附送上这个token值服务端验证token值,并返回数据那么现在我们就按这个流程开始。我们的HTML结构是这样的:一个登录表单,供用户输入用户名和密码,以及提交按钮;一个是登录成功后的显示信息。再看javascript部分上面是成功的返回 生成t...
php Jwt 登陆验证
最新发布
04-08
JWT(JSON Web Token)是一种用于身份验证和授权的开放标准。它是一种基于JSON的安全令牌,由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。 在PHP中使用JWT进行登录验证的步骤如下: 1. 安装依赖:使用Composer安装`firebase/php-jwt`库,该库提供了JWT的相关功能。 2. 生成Token:在用户登录成功后,服务器可以生成一个JWT Token并返回给客户端。生成Token的过程包括设置有效载荷信息、设置过期时间、设置密钥等。 ```php use \Firebase\JWT\JWT; // 设置有效载荷信息 $payload = array( "user_id" => $user_id, "username" => $username ); // 设置过期时间 $expiration_time = time() + 3600; // 1小时后过期 // 设置密钥 $secret_key = "your_secret_key"; // 生成Token $token = JWT::encode($payload, $secret_key); ``` 3. 验证Token:在客户端发送请求时,将Token放在请求头或请求参数中。服务器接收到请求后,需要验证Token的有效性和完整性。 ```php use \Firebase\JWT\JWT; // 获取Token $token = $_SERVER['HTTP_AUTHORIZATION']; // 设置密钥 $secret_key = "your_secret_key"; try { // 验证Token $decoded = JWT::decode($token, $secret_key, array('HS256')); // Token验证通过,可以获取有效载荷信息 $user_id = $decoded->user_id; $username = $decoded->username; } catch (Exception $e) { // Token验证失败 // 处理验证失败的逻辑 } ``` 以上是使用PHP进行JWT登录验证的基本步骤。通过JWT,服务器可以生成一个安全的Token,并在每次请求时验证Token的有效性,从而实现用户身份的验证和授权。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值