PHP利用JWT实现token和refresh_token

最新推荐文章于 2024-04-26 09:06:25 发布
最新推荐文章于 2024-04-26 09:06:25 发布
阅读量1.5k 收藏 9
点赞数
分类专栏: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rulaixiong/article/details/109531572
版权

0. 引入

composer require firebase/php-jwt

require __DIR__ . '/vendor/autoload.php';
use Firebase\JWT\JWT;

1. 生成token

public function getToken()
{
    $key = 'key';  // key
    $time = time();  // 当前时间
    $token = [
        'iss' => 'http://www.buddha.com',  // 签发者 可选
        'aud' => 'http://www.buddha.com',  // 接收该JWT的一方,可选
        'iat' => $time,  // 签发时间
        'nbf' => $time ,  // (Not Before):某个时间点后才能访问,比如设置time+30,表示当前时间30秒后才能使用
        'exp' => $time + 7200,  // 过期时间,这里设置2个小时
        'data' => [  // 自定义信息,不要定义敏感信息
            'id' => 1,
            'username' => 'buddha'
        ]
    ];
    return JWT::encode($token, $key);  // 输出Token
}

2. 验证token

public function verification()
{
    $key = 'key';  // key要和签发的时候一样
    $jwt = "";  // 签发的Token
    try {
        JWT::$leeway = 60;  // 当前时间减去60,把时间留点余地
        $decoded = JWT::decode($jwt, $key, ['HS256']);  // HS256方式,这里要和签发的时候对应
        $arr = (array)$decoded;
        return $arr;
    } catch(\Firebase\JWT\SignatureInvalidException $e) {  // 签名不正确
        echo $e->getMessage();
    }catch(\Firebase\JWT\BeforeValidException $e) {  // 签名在某个时间点之后才能用
        echo $e->getMessage();
    }catch(\Firebase\JWT\ExpiredException $e) {  // token过期
        echo $e->getMessage();
    }catch(Exception $e) {  // 其他错误
        echo $e->getMessage();
    }
    // Firebase定义了多个throw new,我们可以捕获多个catch来定义问题,catch加入自己的业务
    // 比如token过期可以用当前Token刷新一个新Token
}

3. 同时生成token和refresh_token

public function authorizations()
{
    $key = 'ffdsfsd@4_45';  // key
    $time = time();  // 当前时间

    // 自定义信息
    $token = [
        'iss' => 'http://www.buddha.com',  // 签发者 可选
        'iat' => $time,  // 签发时间
        'data' => [  // 自定义信息,不要定义敏感信息
            'id' => 1,
            'username' => 'buddha'
        ]
    ];

    $access_token = $token;
    $access_token['scopes'] = 'role_access';  // token标识,请求接口的token
    $access_token['exp'] = $time + 7200;  // access_token过期时间,这里设置2个小时

    $refresh_token = $token;
    $refresh_token['scopes'] = 'role_refresh';  // token标识,刷新access_token
    $refresh_token['exp'] = $time + (86400 * 30);  // access_token过期时间,这里设置30天

    $jsonList = [
        'access_token' => JWT::encode($access_token, $key),
        'refresh_token' => JWT::encode($refresh_token, $key),
        'token_type' => 'bearer'  // token_type:表示令牌类型,该值大小写不敏感,这里用bearer
    ];
    // header("HTTP/1.1 201 Created");
    return json_encode($jsonList);  // 返回给客户端token信息
}
程序员buddha
关注
  • 0
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
手把手教你,使用JWT实现单点登录,一起来揭开它神秘的面纱
2401_84023446的博客
05-03 1077
Data/***//***//***///定义token返回头部//token前缀//签名密钥//有效期默认为 2hour6060*2;/**创建TOKEN@return*//**验证token*/try {.build()throw new Exception(“token已失效,请重新登录”,e);throw new Exception(“token验证失败!”,e);@Slf4j/**重写父类提供的跨域请求处理的接口*/
php jwt单点登录,单点登录JWT实现-实战篇
weixin_29237635的博客
04-01 912
package com.dalingjia.seckill.common.utils;import com.fasterxml.jackson.databind.ObjectMapper;import io.jsonwebtoken.Claims;import io.jsonwebtoken.Jws;import io.jsonwebtoken.Jwts;import io.jsonwebtoke...
phptoken生成和解析(使用JWT
qq_39545346的博客
02-06 3580
什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519)。该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 为什么使用JWT 传统的基于session的认证,在随着不同客户端用户的增加,独立的服务
PHP使用jwt生成token
qq_43541894的博客
03-05 518
PHP使用jwt生成token,不使用数据库验证用户身份
PHP-tokenrefreshToken实现身份认证》
小霸王的博客
05-25 763
tokenrefreshToken实现身份认证:https://blog.csdn.net/Paulangsky/article/details/95048410 一.问题 App 安装后,第一次启动时需要登录(在某些页面提示需要登录或者直接启动在登录界面)。而只要登录成功后,就不需要每次启动时再次登录。不过,当你的 App 长期未启动,再次启动时,就需要登录。这个是怎么实现的?App 又是怎么保持登录状态的? 二.实现思路 客户端在登录的时候带上设备的设备号、appId,并将其作为参数传递到服务端。服务
tokenrefresh token
luminita_的博客
10-09 5331
最近一段时间新接手一个项目,第一次听说refresh token,下面谈谈我自己的理解。 首先,什么是token? 什么是refresh token?两者之间有什么关系? 1.token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。 2.refresh_token的作用是刷新AccessToken。认证服务器会提供一个刷新接口,我们传入Refresh_t
基于acess_tokenrefresh_token实现token续签
03-19
在这个场景下,“基于acess_tokenrefresh_token实现token续签”是一个关键的过程,它涉及到用户登录、权限管理以及令牌的有效性维护。下面将详细阐述这个主题。 首先,我们需要理解`access_token`和`refresh_...
springSecurity-jwt:JWT access_tokenrefresh_token
04-10
SpringSecurity-JWT-VERSION2(AccessTokenRefreshToken) version1太复杂,无法优化。accessToken refreshToken流安全登录处理流程详细说明转到博客文章JWT异常处理安全异常处理(AuthenticationEntryPoint,...
koa+jwt实现token验证与刷新功能
01-01
JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。 本文只讲Koa2 + jwt的使用,不了解...
JWT Token实现方法及步骤详解
09-07
JSON Web Token (JWT) 是一种安全的身份验证和信息传输机制,尤其在前后端分离的应用架构中广泛应用。JWT 用于在不同系统之间安全地传递信息,尤其是用户认证信息,且无需在每次请求时与服务器交互。它由三部分组成...
php实现JWT(json web token)鉴权实例详解
10-16
主要介绍了php实现JWT(json web token)鉴权实例详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
前后端利用accessTokenrefreshToken无感刷新
没有翅膀的我们,只是随便认为不能飞而已
06-15 5220
项目初衷 以jwt(由header,payload和signature组成)为例,用户登录成功,后端返回accessToken。前端保存,请求接口携带,一切都是水到渠成的 可是在acessToken失效时,你正好请求一次接口,接口就挂了,可能你就跳到登录页了,用户体验也不好。我们希望虽然过期了,但是页面偷偷地刷新,不影响当前接口运行。如果你的方案是把accessToken的有效期设置地久一点,比如100年。你真的是个机智Boy,那设置jwt的意义何在。 方案 accessTokenrefreshToken
token身份验证,解决refresh_token多次刷新问题
m0_55141616的博客
11-02 1万+
基于Token的身份验证的基本过程如下: 1.用户通过用户名和密码发送请求。 2.服务器端程序验证。 3.服务器端程序返回一个带签名的token给客户端。 4.客户端储存token,并且每次访问都携带token到服务器端的。 5.服务端验证token,校验成功则返回请求数据,校验失败则返回错误码跳转重新登录。 使用refresh token的身份验证操作: 但是如果用户在正常操作的过程中,token过期失效了,要求用户重新登录,对用户的体验会很不好。 使用refresh token
Refresh Token介绍
热门推荐
NSPOKS的博客
09-30 1万+
Refresh Token介绍 上篇文章说到Token 是在服务端产生的。如果前端使用用户名/密码向服务端请求认证,服务端认证成功,那么在服务端会返回 Token 给前端。前端可以在每次请求的时候带上 Token 证明自己的合法地位,而Token的playload部分一般会存储相关的过期时间,一旦Token过期就会被网关拦截,因此如何设置Token刷新机制也是一个重点。 刷新Token探讨 过期...
搞懂 JWT 这个知识点
程序员成长指北
09-22 649
什么是 JWT概念JSON Web Token(简称 JWT)是目前最流行的跨域认证解决方案。JWT 原理JWT 组成JWT 由三部分组成:Header,Payload,Signatur...
JWT生成token的四种处理方式
qq_43611893的博客
08-12 3545
JWT生成token的三种处理方式基本思路1.0实现2.0实现3.0实现4.0实现最终实现后端前端(VUE) 基本思路 access_token 过期设置为15分钟 前端发起请求,后端验证access_token是否过期;如果过期,前端发起refresh_token请求,后端设置已再次授权标记为true,请求成功 前端发起请求,后端验证再次授权标记,如果已经再次授权,则拒绝refresh_token的请求,请求成功 如果前端每隔72小时,必须重新登录,后端检查用户最后一次登录日期,如超过72小时,则拒绝刷
JWTRefreshToken的应用场景及刷新token的具体实现思路
isFuong的博客
03-17 1万+
JWT token中,refreshToken的作用主要是避免token过期时,前端用户突然退出登录产生不良体验。 试想,如果你正访问某基于jwt token机制的网站,该网站token过期时间是24小时, 你在23小时59分前已经登录过了,现在你访问某页面时,正好处于token过期时间24小时的临界点, 这时token突然过期,你上一秒看视频正起劲儿呢,下一秒就让你重新登录了,你说气不气? 这时候如果有一个refreshToken,虽然正式的token过期了,但前端却可以拿这个refreshTo
PHP利用JWT refresh_token获取新access_token
最新发布
m0_69254007的博客
04-26 299
确保在实际环境中处理异常和错误,并且使用更安全的方法来生成密钥和tokens。PHP利用JWT refresh_token获取新token。在PHP中使用JWT(JSON Web Tokens)来刷新。的过期时间较长,例如7天。,如果有效,则生成一个新的。当用户登录时,生成一个。
JWT_REFRESH_TOKEN_EXPIRES 怎么使用,给我写一个例子
03-20
JWT_REFRESH_TOKEN_EXPIRES 是一个用于设置 JWT 刷新令牌过期时间的变量,它通常与 JWT_ACCESS_TOKEN_EXPIRES 一起使用。下面是一个使用 Flask-JWT-Extended 扩展的例子: ```python from flask import Flask from flask_jwt_extended import JWTManager, create_access_token, create_refresh_token, jwt_required, jwt_refresh_token_required, get_jwt_identity, get_raw_jwt app = Flask(__name__) app.config['JWT_SECRET_KEY'] = 'super-secret' # 设置 JWT 密钥 app.config['JWT_ACCESS_TOKEN_EXPIRES'] = 3600 # 设置访问令牌过期时间为 1 小时 app.config['JWT_REFRESH_TOKEN_EXPIRES'] = 604800 # 设置刷新令牌过期时间为 1 周 jwt = JWTManager(app) # 用户登录,生成访问令牌和刷新令牌 @app.route('/login', methods=['POST']) def login(): username = request.json.get('username', None) password = request.json.get('password', None) if username != 'admin' or password != 'admin': return jsonify({'msg': 'Invalid username or password'}), 401 access_token = create_access_token(identity=username) refresh_token = create_refresh_token(identity=username) return jsonify({'access_token': access_token, 'refresh_token': refresh_token}), 200 # 使用访问令牌访问受保护的资源 @app.route('/protected', methods=['GET']) @jwt_required def protected(): current_user = get_jwt_identity() return jsonify({'msg': f'Hello, {current_user}!'}), 200 # 使用刷新令牌刷新访问令牌 @app.route('/refresh', methods=['POST']) @jwt_refresh_token_required def refresh(): current_user = get_jwt_identity() access_token = create_access_token(identity=current_user) return jsonify({'access_token': access_token}), 200 if __name__ == '__main__': app.run() ``` 在上面的例子中,我们设置了 JWT_REFRESH_TOKEN_EXPIRES 为 1 周,表示刷新令牌在 1 周后过期。当用户登录成功后,我们生成了一个访问令牌和一个刷新令牌,并将它们返回给客户端。当客户端使用访问令牌访问受保护的资源时,我们使用 @jwt_required 装饰器来保护该路由,只有在客户端提供有效的访问令牌时才能访问。当客户端的访问令牌过期时,客户端可以使用刷新令牌来获取新的访问令牌,我们使用 @jwt_refresh_token_required 装饰器来保护刷新令牌路由,只有在客户端提供有效的刷新令牌时才能刷新访问令牌。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

程序员buddha

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值