jwt原理与应用-php

已于 2024-03-25 14:10:02 修改
阅读量1k 收藏
点赞数
分类专栏: PHP 文章标签: php
于 2019-09-30 17:22:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/raoxiaoya/article/details/101781339
版权

官网:https://jwt.io/
官网有案例测试。

jwt-framework
github:https://github.com/web-token/jwt-framework
文档:https://web-token.spomky-labs.com/
composer require web-token/jwt-framework

为什么要使用JWT
JWT是json web token缩写。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。基于token的身份验证可以替代传统的cookie+session身份验证方法。

它定义了一种用于简洁,自包含的用于通信双方之间以 JSON 对象的形式安全传递信息的方法。JWT 可以使用 HMAC 算法或者是 RSA 的公钥密钥对进行签名。它具备两个特点:

简洁(Compact):可以通过URL, POST 参数或者在 HTTP header 发送,因为数据量小,传输速度快

自包含(Self-contained):负载中包含了所有用户所需要的信息,避免了多次查询数据库

JWT由三个部分组成:header.payload.signature

1、header部分:

{
  "typ": "JWT",
  "alg": "HS256"
}

对应base64UrlEncode编码为:eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9
说明:该字段为json格式。alg字段指定了生成signature的算法,默认值为HS256,typ默认值为JWT

2、payload部分:

{
  "iss": "xxxx",//该JWT的签发者
  "iat": 1569746556,//签发时间
  "exp": 1601282556,//过期时间
  "nbf": 1569746556,//该时间之前不接收处理该Token
  "jti": "NSiLlGKANgTRA9WD",//该Token唯一标识
  "sub": xxxxxxx,//面向的用户,比如用户id
  "prv": "f6b71549db8c2c42b75827aa44f02b7ee529d24d"
}

对应base64UrlEncode编码为:eyJpc3MiOiJodHRwOi8vMTcyLjMxLjIwNS43MC91Yy91Y2VudGVyL3JlQmluZGluZyIsImlhdCI6MTU2OTc0NjU1NiwiZXhwIjoxNjAxMjgyNTU2LCJuYmYiOjE1Njk3NDY1NTYsImp0aSI6Ik5TaUxsR0tBTmdUUkE5V0QiLCJzdWIiOjkzMjYwOSwicHJ2IjoiZjZiNzE1NDlkYjhjMmM0MmI3NTgyN2FhNDRmMDJiN2VlNTI5ZDI0ZCJ9
说明:该字段为json格式,表明用户身份的数据,可以自己自定义字段,很灵活。

3、signature部分:

HMACSHA256(
 base64UrlEncode(header) + "." +
 base64UrlEncode(payload),
 123456
)

说明:对header和payload进行base64UrlEncode编码后进行拼接。通过key(这里是123456)进行HS256算法签名。
对应的签名为:wwTa9XRLydYmrjCOgiB4Wq1_rzGZ4sVeLg3NZVr0SaA

4、最终得到的结果就是三段的拼接:header.payload.signature,即
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJodHRwOi8vMTcyLjMxLjIwNS43MC91Yy91Y2VudGVyL3JlQmluZGluZyIsImlhdCI6MTU2OTc0NjU1NiwiZXhwIjoxNjAxMjgyNTU2LCJuYmYiOjE1Njk3NDY1NTYsImp0aSI6Ik5TaUxsR0tBTmdUUkE5V0QiLCJzdWIiOjkzMjYwOSwicHJ2IjoiZjZiNzE1NDlkYjhjMmM0MmI3NTgyN2FhNDRmMDJiN2VlNTI5ZDI0ZCJ9.wwTa9XRLydYmrjCOgiB4Wq1_rzGZ4sVeLg3NZVr0SaA

注意:当拿到一个jwt token的时候,你可以使用 https://jwt.io/ 知道前面两个部分的内容,然后使用你的 jwt secret 校验第三部分的signature,也就是说 jwt 的校验是校验 token 是由合法的应用产生的,而对于 payload 的内容不具备加密效果,当然你可以自行加密payload中的内容。

5、使用
一般将生成的jwt串放在请求头的 Authorization 中传递,服务端来验证。

在使用 JWT 时需要注意以下事项:

  1. JWT 默认不加密,如果要写入敏感信息必须加密,可以用生成的原始令牌再次对内容进行加密;
  2. JWT 无法使服务器保存会话状态,当令牌生成后在有效期内无法取消也不能更改;
  3. JWT 包含认证信息,如果泄露了,任何人都可以获得令牌所有的权限;因此 JWT 有效期不能太长,对于重要操作每次请求都必须进行身份验证。

代码:

<?php
/**
 * ----------------------------------------------------------
 * date: 2019/9/29 16:21
 * ----------------------------------------------------------
 * author: Raoxiaoya
 * ----------------------------------------------------------
 * describe: JWT类
 * ----------------------------------------------------------
 */

class Jwt
{
    //头部
    private $header = [
        'alg' => 'HS256', //生成signature的算法
        'typ' => 'JWT'  //类型
    ];

    // payload
    private $payload;

    // 过期时间
    private $ttl = 10;// 10s
    private $refreshTtl = 7200;

    //使用HMAC生成信息摘要时所使用的密钥
    private $key = '123456';

    // 是否开启黑名单,开启后在校验token的时候会检查黑名单,影响性能,但是安全。
    private $openBlackList = false;

    public function __construct()
    {

    }

    // 设置载荷
    private function setPayload($pay = [])
    {
        $this->payload = [
            "iss" => "jwt_admin",//该JWT的签发者
            "iat" => time(),//签发时间
            "exp" => time() + $this->ttl,//过期时间
            "nbf" => time(),//该时间之前不接收处理该Token
            "jti" => md5(uniqid('JWT') . time()),//该Token唯一标识
            "sub" => '',//面向的用户,比如用户id
        ];
        $this->payload = array_merge($this->payload, $pay);
    }

    // 设置过期时间
    public function setTtl($seconds)
    {
        $seconds = intval($seconds);
        if ($seconds > 0) {
            $this->ttl = $seconds;
        }
    }

    // 生成token
    public function getToken($payload)
    {
        $this->setPayload($payload);

        if (is_array($this->payload)) {
            $base64header  = $this->base64UrlEncode(json_encode($this->header, JSON_UNESCAPED_UNICODE));
            $base64payload = $this->base64UrlEncode(json_encode($this->payload, JSON_UNESCAPED_UNICODE));
            $signature     = $this->signature($base64header . '.' . $base64payload, $this->key, $this->header['alg']);
            $token         = $base64header . '.' . $base64payload . '.' . $signature;
            return $token;
        } else {
            return false;
        }
    }

    // 验证token
    public function verifyToken($Token)
    {
        $tokens = explode('.', $Token);
        if (count($tokens) != 3)
            return false;

        list($base64header, $base64payload, $sign) = $tokens;

        //获取jwt算法
        $base64decodeheader = json_decode($this->base64UrlDecode($base64header), JSON_OBJECT_AS_ARRAY);
        if (empty($base64decodeheader['alg']))
            return false;

        //签名验证
        if ($this->signature($base64header . '.' . $base64payload, $this->key, $base64decodeheader['alg']) !== $sign)
            return false;

        $payload = json_decode($this->base64UrlDecode($base64payload), JSON_OBJECT_AS_ARRAY);

        // 判断黑名单 $payload['jti']
        if($this->openBlackList){

        }

        //签发时间大于当前服务器时间验证失败
        if (isset($payload['iat']) && $payload['iat'] > time())
            return false;

        //过期时间小宇当前服务器时间验证失败
        if (isset($payload['exp']) && $payload['exp'] < time())
            return false;

        //该nbf时间之前不接收处理该Token
        if (isset($payload['nbf']) && $payload['nbf'] > time())
            return false;

        return $payload;
    }

    // 刷新token延长过期时间
    public function refreshToken($token){

    }

    /**
     * 当token泄露,或者注销登录,将token加入黑名单,使用redis存储,key的过期时间应大于token的过期时间。
     * 一般将payload中的jti作为key,因为jti是唯一标识,value可以设置空,因为并不需要。
     */
    public function addBlackList(){
        if($this->openBlackList){

        }
    }


    /**
     * base64UrlEncode  https://jwt.io/ 中base64UrlEncode编码实现
     * 将 +/ 替换成 -_
     * 将 = 删除
     * @param string $input 需要编码的字符串
     * @return string
     */
    private function base64UrlEncode($input)
    {
        return str_replace('=', '', strtr(base64_encode($input), '+/', '-_'));
    }

    /**
     * base64UrlEncode https://jwt.io/ 中base64UrlEncode解码实现
     * @param string $input 需要解码的字符串
     * @return bool|string
     */
    private function base64UrlDecode($input)
    {
        $remainder = strlen($input) % 4;
        if ($remainder) {
            $addlen = 4 - $remainder;
            $input  .= str_repeat('=', $addlen);
        }
        return base64_decode(strtr($input, '-_', '+/'));
    }

    /**
     * HMACSHA256签名  https://jwt.io/ 中HMACSHA256签名实现
     * @param string $input 为base64UrlEncode(header).".".base64UrlEncode(payload)
     * @param string $key
     * @param string $alg 算法方式
     * @return mixed
     */
    private function signature($input, $key, $alg = 'HS256')
    {
        $alg_config = array(
            'HS256' => 'sha256'
        );
        return $this->base64UrlEncode(hash_hmac($alg_config[$alg], $input, $key, true));
    }
}

// 测试加密
$payload = array('sub' => '1234567890', 'name' => 'John Doe');
$jwt     = new Jwt;
$token   = $jwt->getToken($payload);
echo $token.PHP_EOL;

//对token进行验证签名
$getPayload = $jwt->verifyToken($token);
var_dump($getPayload);
echo PHP_EOL;

扩展阅读:https://pengrl.com/p/20041/#more

raoxiaoya
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
composer使用JWT生成Token实例
Worm的专栏
03-16 4854
Composer使用JWT组件生成Toekn实例1、Token和Session的区别? SESSION 是服务器通过 Key-Value 对来保存数据的一种机制,比如 APP 的登录状态可以用 SESSION 来保存。 TOKEN 翻译过来叫令牌,令牌是什么意思?可以拿现实中的令牌对比,现实中的令牌起到通行证的作用,而这在服务端也是一样的。我们在登录后,服务端使用 SESSION 保存我们
thinkphp6.0 composer 安装 web-token/jwt-framework 常见出错原因分析及解决方法
weixin_46246967的博客
08-07 183
thinkphp6.0 composer 安装 web-token/jwt-framework 常见出错原因分析及解决方法
探索Firebase PHP JWT:安全认证的利器
gitblog_00080的博客
04-09 348
探索Firebase PHP JWT:安全认证的利器 项目地址:https://gitcode.com/firebase/php-jwt 在现代Web应用开发中,身份验证和授权是不可或缺的一环。Firebase PHP JWT是一个轻量级、高效的PHP库,用于创建、验证JSON Web Tokens(JWT)。这篇技术文章将带你深入了解这个项目,并阐述其技术原理应用场景及特点,以期吸引更多的开发...
php实现JWT(json web token)鉴权实例详解
01-03
JWT是什么 JWT是json web token缩写。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。基于token的身份验证可以替代传统的cookie+session身份验证方法。 JWT由三个部分组成:header.payload.signature 以下示例以JWT官网为例 header部分: { alg: HS256, typ: JWT } 对应base64UrlEncode编码为:eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9 说明:该字段为jso
PHP使用jwt验证
qq_36767214的博客
03-19 5449
一.安装jwt包 这里是jwt的官网https://jwt.io,这里搜索PHP的 进入到对应的git项目中https://github.com/lcobucci/jwt composer进行下载安装 二.使用jwt 查看文档https://lcobucci-jwt.readthedocs.io/en/latest/configuration/ ...
php + JWT详解
jkzyx123的博客
10-17 2556
JWT(JSON Web Token)是一个开放的标准(RFC 7519),它定义了一种简洁、自包含的方式,用于通信双方之间安全地将信息作为一个 JSON 对象进行传输。此信息可以被验证和信任,因为它被数字签名。Header:头部通常由两部分组成:token 类型和使用的哈希算法。Payload:载荷包含声明。声明是关于实体(通常是用户)的信息以及附加元数据。Signature。
php处理jwt
小婷
12-08 538
首先来一波jwt的深入了解 这一波内容是翻阅了各种资料,然后进行整合,得出了以下文章。 jwt是什么 JWT是json web token缩写。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。基于token的身份验证可以替代传统的cookie+session身份验证方法。 jwt由什么组成 由三部分组成,分别是header.payload.signature jwt官网地址 https://jwt.io/
PHPJWT是干什么的?底层原理是什么?
长风破浪会有时的博客
06-06 346
然后,使用指定的密钥和签名算法对这个连接后的字符串进行签名,生成签名部分。然后,使用相同的密钥和签名算法对头部和载荷部分进行签名,得到一个新的签名。最后,将新生成的签名与接收到的签名进行比较,如果它们相等,则说明JWT是合法的。签名(Signature):签名是JWT的第三部分,它使用头部、载荷和密钥结合特定的算法生成。载荷(Payload):JWT的载荷是包含实际要传输的信息的部分。头部(Header):JWT的头部包含了两部分信息:令牌的类型("typ")和所用的签名算法("alg")。
nimbus-jose-jwt-4.41.1-API文档-中文版.zip
06-26
赠送jar包:nimbus-jose-jwt-4.41.1.jar; 赠送原API文档:nimbus-jose-jwt-4.41.1-javadoc.jar; 赠送源代码:nimbus-jose-jwt-4.41.1-sources.jar; 赠送Maven依赖信息文件:nimbus-jose-jwt-4.41.1.pom; 包含...
JWT爆破篡改工具-离线
04-03
从爆破到篡改,完美闭环
java-jwt-3.1.0.jar
04-28
java-jwt-3.1.0.jar
PHP jwt类库
07-31
PHP jwt类库
spring-security-jwt-1.0.10.RELEASE-API文档-中文版.zip
05-09
赠送jar包:spring-security-jwt-1.0.10.RELEASE.jar; 赠送原API文档:spring-security-jwt-1.0.10.RELEASE-javadoc.jar; 赠送源代码:spring-security-jwt-1.0.10.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
PHP-JWT:JWTPHP 包-开源
08-07
一个简单的库,用于在 PHP 中编码和解码 JSON Web 令牌 (JWT),符合 RFC 7519。使用 composer 管理您的依赖项并下载 PHP-JWT。 或者,如果您的 php < 7.2 或没有安装 libsodium,请从 Composer 安装 paragonie/...
jwt介绍和PHP的使用
shaoyangzhuanyong的博客
10-24 1061
适用于分布式单点登录(SSO)
jwt-php,php中使用JWT
weixin_35569211的博客
04-06 1028
使用token进行身份验证过程1.客户端使用账号密码进行登录2.服务端接受到请求后验证账号以及密码的正确性,若正确则服务端回传一个Token3.客户端接收到Token后对其进行存储,每次访问时需携带token4.服务端在接受到客户端请求时需验证token有效性,验证成功则回传数据。生成与验证token的方法有很多种,我们这里使用的是jwt(Json Web Token)。使用前提首先使用方法需要...
PHP JWT初识
weixin_33826609的博客
10-10 193
一直没有好好看过jwt,直到前两天要做web验证,朋友给我推荐了jwt。才发现jwt已经被大家广泛的应用了。看来我有点out了。哈哈,趁着这个世界来好好看看这个。 JWT(JSON Web Token), 顾名思义就是可以在Web上传输的token,这种token是用JSON格式进行format的。它是一个开源标准(RFC 7519),定...
PHP利用JWT refresh_token获取新access_token
最新发布
m0_69254007的博客
04-26 251
确保在实际环境中处理异常和错误,并且使用更安全的方法来生成密钥和tokens。PHP利用JWT refresh_token获取新token。在PHP中使用JWT(JSON Web Tokens)来刷新。的过期时间较长,例如7天。,如果有效,则生成一个新的。当用户登录时,生成一个。
PHP使用jwt生成token
weixin_41604317的博客
09-29 811
PHP使用jwt生成token
前端登录如何获取jwt响应标头Set-Cookie
07-10
前端登录获取JWT响应标头Set-Cookie的过程如下: 1. 前端发送登录请求(通常是通过表单提交或AJAX请求),将用户名和密码等凭据发送到后端服务器。 2. 后端服务器验证凭据,并生成JWT(JSON Web Token)作为用户的身份认证凭证。 3. 后端服务器在响应中设置Set-Cookie标头,将JWT作为Cookie的值进行设置。通常,Set-Cookie标头的值包含JWT的内容、过期时间、域等信息。 4. 前端接收到响应后,浏览器会自动将Set-Cookie中的值保存在浏览器的Cookie中。 5. 前端可以通过document.cookie属性获取保存在浏览器中的Cookie值,其中包括JWT的值。 注意:由于浏览器的同源策略限制,前端无法直接访问其他域下的Cookie。但在同一域名下,前端可以通过document.cookie属性获取当前域下的所有Cookie值。 以上是一种常见的前端获取JWT响应标头Set-Cookie的方式,具体实现可能会因后端框架或库的不同而略有差异。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值