PHP对JWT接口认证的使用实践

最新推荐文章于 2024-09-11 18:36:23 发布
最新推荐文章于 2024-09-11 18:36:23 发布
阅读量810 收藏 2
点赞数
分类专栏: 学习记录 文章标签: PHP JWT 接口认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sas1005562930/article/details/94578253
版权

第一篇博客,最近接触了JWT,所以想着去试试这个,于是就尝试着去做一做。
现在主流的接口认证方式有两种,一种是OAuth2.0(即微信支付宝等的第三方登录在使用的方式),另一种就是JWT了。
我这边在查询资料后,感觉最让我清楚了解JWT的就是《前后端分离之JWT用户认证》这篇博客了。看完之后,让我觉得JWT的本质就是两个可解密的字段加一个验证加密字段拼接的字符串。服务器端可以解密两个可解密的字段获取数据,然后根据两个可解密字段加其他加密方式生成加密字段去验证传递过来的加密字段。成功则直接使用解密的数据,避免查询数据库等方式验证用户信息。
之后又查看到了另一篇博客:《JWT》,这篇博客让我了解了一些JWT的弊端。主要是两个问题,一个是续期问题,如果需要在有效期内登陆会刷新验证时间,则这个问题比较麻烦;另一个是用户数据修改问题,主要是用户修改密码后,则原先的登陆状态应该失效,不过JWT的话还是能验证通过。这个两个问题,我想到的是在Redis的哈希数据里保存用户的数据修改时间和用户下每个JWT的过期时间。不过这样就要每次去查询Reids获取、修改数据。但这样也就加重了服务器的负担,是否可行需要另外再探索。
登录代码

 public function actionLogin()
    {
        $request = Yii::$app->request;
        $username = $request->post('username','');//账号
        $password = $request->post('password','');//密码
        $data['errcode'] = '1';
        $data['errmsg'] = '登录失败';

        $model = new LoginUserForm();//验证登录模型

        $model->username = $username;
        $model->password = $password;

        if ($model->login()) {//验证登录
            //获取redis里用户修改密码等重要数据时间
            $redis = new \Redis();
            $redis->connect('127.0.0.1', 6379);
            //Yii::$app->user->identity->id   用户ID
            $exp = $redis->hGet('JWT_Login_exp',Yii::$app->user->identity->id);
            //未设置则设置时间
            if(empty($exp)){
                $redis->hSet('JWT_Login_exp',Yii::$app->user->identity->id,time());
            }
            //Yii::$app->params['JWT']['alg']  公共加密方式
            $header = array(
                'alg'=>Yii::$app->params['JWT']['alg'],
                'typ'=>'JWT'
            );
             //Yii::$app->params['JWT']['exp']  过期时间
            //iss(签发者),exp(过期时间),sub(面向的用户),aud(接收方),iat(签发时间)。
            $payload = array(
                'iss'=>'jwp.com',
                'exp'=>time()+Yii::$app->params['JWT']['exp'],
                'sub'=>Yii::$app->user->identity->id,
                'iat'=>time(),
            );
            $header = base64_encode(json_encode($header));
            $payload = base64_encode(json_encode($payload));
              //Yii::$app->params['JWT']['key']  加密秘钥
              //hash_hmac  用于加密
            $sign = hash_hmac(Yii::$app->params['JWT']['alg'],$header.$payload,Yii::$app->params['JWT']['key']);
            //拼接JWT返回
            $jwt = $header.'.'.$payload.'.'.$sign;

            $data['errcode'] = '0';
            $data['errmsg'] = '登录成功';
            $data['data']['token'] = $jwt;
            
        }else{
            $error = $model->getErrors();
            $error = reset($error);
            $data['errmsg'] = reset($error);
        }

        echo json_encode($data);
    }

验证JWT

/**
     * 判断是否登录
     */
    public function isLogin(){
        $data['errcode'] = '-1';
        $data['errmsg'] = '认证信息错误';
        
        if(isset($_SERVER['HTTP_AUTHORIZATION'])){

            //分割JWT
            $token = explode('.',$_SERVER['HTTP_AUTHORIZATION']);

            //JWT需携带三部分数据
            if(count($token)==3){
                //生成变量
                list($header,$payload,$sign)=$token;
                $headerData = json_decode(base64_decode($header),true);
                $payloadData = json_decode(base64_decode($payload),true);

                //判断是否有加密方式
                if(isset($headerData['alg'])){
                    //生成加密字符串
                    $hash = hash_hmac($headerData['alg'],$header.$payload,Yii::$app->params['JWT']['key']);
                    if(!empty($hash) && $hash == $sign){

                        //有效期未过期
                        if($payloadData['exp']>=time()) {
                            //获取redis哈希中用户上次修改密码的时间
                            $redis = new \Redis();
                            $redis->connect('127.0.0.1', 6379);
                            $exp = $redis->hGet('JWT_Login_exp',$payloadData['sub']);

                            //修改密码时间大于创建时间,则jwt失效
                            if(!empty($exp) && $exp<=$payloadData['iat']){
                                $this->UserInfo['id'] = $payloadData['iat'];
                                $data['errcode'] = '0';
                                $data['errmsg'] = '认证成功';
                            }else{
                            	$data['errmsg'] = '认证信息以过期';
                       		}
                        }else{
                            $data['errmsg'] = '认证信息以过期';
                        }
                    }
                }

            }else{
                $data['errmsg'] = '认证信息格式错误';
            }

        }else{
            $data['errmsg'] = '未传递认证信息';
        }
        return $data;
    }

在写完后端程序后,使用Postman做本地测试,结果死活获取不到AUTHORIZATION,在查询许久后才发现,Apache服务器单独把AUTHORIZATION字段删除了,需要另外配置过才可以。参考的博客是:《apache服务器 php获取不到Authorization》。其中第二种方式在我这行不通,不知是什么问题,有清楚的请解答下,谢谢。具体操作如下:
修改.htaccess文件

<IfModule mod_rewrite.c>
    RewriteEngine on
    RewriteCond %{REQUEST_FILENAME} !-d
    RewriteCond %{REQUEST_FILENAME} !-f
    RewriteRule ^(.*)$ index.php?/$1 [QSA,PT,L]
    #增加如下内容
    SetEnvIf Authorization .+ HTTP_AUTHORIZATION=$0
</IfModule>

在使用JWT中的基本流程就是这样,第一次使用这个,更多细节问题可能还不清楚,需后面再进一步完善了

五更的猫
关注
专栏目录
JWT-auth的原理以及laravel中tymon/jwt-auth的安装使用
caozhennan824的博客
06-20 1万+
引言 最近后端准备用laravel来编写一个微信小程序的后端,那么首先涉及到的就是用户登录授权访问后端api的逻辑实现,之前还自己封装点token验证的类来处理登录状态,但是一接触laravel,就知道了tymon/jwt-auth的鼎鼎大名。那就必须来探究和学习一下了。 一.JWT auth知识及原理 想在laravel中使用tymon/jwt-auth之前,有些概念我们必须要学习。下面我将用自己的语言来描述一下。 1.什么是所谓的token? 我们都知道http协议是无状态的协议,unstate,这
laravel_jwt_demo:Laravel 6.0 结合 jwt 多用户模型认证案例
05-06
在本文中,我们将深入探讨如何在 Laravel 6.0 框架中结合 JSON Web Tokens (JWT) 进行多用户模型认证。我们将基于提供的"laravel_jwt_demo"项目进行讨论,该项目展示了如何为普通用户(User)和管理员(Admin)实现...
PHP如何使用JWT做Api接口身份认证的实现
10-15
主要介绍了PHP如何使用JWT做Api接口身份认证的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
PHP使用JWT
weixin_45083630的博客
02-19 504
PHP使用jwt TP5、TP6使用jwt 1.引入包 composer require thans/tp-jwt-auth 最新包更新地址(包含使用文档):http://packagist.p2hp.com/packages/thans/tp-jwt-auth#v1.2.0 2.注意事项 3.注意事项 4.注意事项 TP6 使用apache环境 无法获取请求头 Authorization 需要修改.haccess文件 新增一行: SetEnvIf Authorization .+ HTTP_AUTH
php 实现JWT
最新发布
Crazy_shark的博客
09-11 1084
PHP 中,JSON Web Token (JWT) 是一种开放标准 (RFC 7519) 用于在各方之间作为 JSON 对象安全地传输信息。JWT 通常用于身份验证系统,如 OAuth2 或基于令牌的身份验证。以下是一个基本的 PHP 实现 JWT 生成和验证的代码示例。
php JWT使用
Bug制造者
07-17 415
composer 下载: composer require lcobucci/jwt 参数解释 在使用之前先解释下上面参数的意思: 名称 解释 iss (issuer) issuer 请求实体,可以是发起请求的用户的信息,也可是jwt的签发者 sub (Subject) 设置主题,类似于发邮件时的主题 aud (audience) 接收jwt的一方 exp (expire) token过期时间 nbf (not before) 当前时间在nbf设定时间之前,该t...
PHP JWT初识
weixin_33826609的博客
10-10 221
一直没有好好看过jwt,直到前两天要做web验证,朋友给我推荐了jwt。才发现jwt已经被大家广泛的应用了。看来我有点out了。哈哈,趁着这个世界来好好看看这个。 JWT(JSON Web Token), 顾名思义就是可以在Web上传输的token,这种token是用JSON格式进行format的。它是一个开源标准(RFC 7519),定...
PHP Authorization with JWT (JSON Web Tokens)
weixin_33816821的博客
01-10 118
http://www.sitepoint.com/php-authorization-jwt-json-web-tokens/占坑
基于 lake-admin 后台管理系统的用户管理模块,实现了用户登陆api的token及jwt认证.zip
07-23
对于学习者来说,这个项目提供了实践PHP Web开发和理解JWT认证的好机会。你可以通过阅读源代码了解具体的实现细节,学习如何设计和实现用户登录系统,以及如何安全地处理用户身份验证。同时,它也适合于那些想要深入...
thinkphp+jwt实现前后端分离
03-15
总的来说,这个项目为开发者提供了一个实践Thinkphp6和JWT结合的起点,有助于理解和掌握前后端分离的实现方法,同时也展示了现代Web开发中的一些最佳实践。通过学习和研究这个项目,开发者可以提升自己的技能,为...
Slim3API:构建PHP Slim 3 API与JWT认证系统
通过学习和实践SLIM3API项目,开发者可以加深对OAuth 2和JWT的理解,同时提升使用Slim框架构建安全API的能力。这不仅能够帮助开发者为现有应用提供后端服务,还能够在开发新应用时更有效地处理用户身份验证和授权...
phpjwt资源
08-28
网上找jwt的资源找了很久,给的方法一直都是自己装composer,然后使用composer去下载jwt库,其实这个库是可以直接使用的,这里我已经下载好了,方便新手直接使用jwt使用时记得将vendor中的autoload.php include进文件就可以了
php 谈谈我对session, cookies和jwt的理解
mengzuchao的专栏
06-05 693
最近在做项目重构,因为核心功能仅以restful风格接口提供,因此对于会话管理这一部分,目前考虑使用jwt(Json Web Token)。本文是我在项目开发过程中对这几种会话管理技术理解的一些总结。不对之处,请指正。为什么我们需要会话管理众所周知,HTTP协议是一个无状态的协议,也就是说每个请求都是一个独立的请求,请求与请求之间并无关系。但在实际的应用场景,这种方式并不能满足我们的需求。举个大家...
PHP 使用 jwt 方式用户身份认证
weixin_34242819的博客
03-17 206
封装类 // +---------------------------------------------------------------------- // | Created by PhpStorm // +---------------------------------------------------------------------- // | Date: 2018...
Blog的API(php裸写,运用jwt登录
yeleng的博客
12-19 490
这个API需要一个apache的改写将全部的入口都丢入index,这样才能作为一个API被使用这份代码目前丢在我的Github上调用方与设计方提前商定好API接口。如在本机上跑"localhost/API/restful/" 是自己的文件可以设计一个.htaccess的系统文件,这个文件调整的是apache的重写规则RewriteEngine on //apache的重写文件 Rewri...
php使用jwt如何拿到用户id,PHP 使用 jwt 方式用户身份认证(示例代码)
weixin_30364031的博客
03-29 544
/***CreatedbyPhpStorm.*User:Heze*Date:2020/11/24*Time:18:12*/namespacemytools;classJwtToken{//头部privatestatic$header=array('alg'=>'HS256',//生成signature的算法'typ'=>'JWT'//类型);//使用H...
php jwt redis实现,jwt的应用生成token,redis做储存
weixin_35002851的博客
03-23 352
解释一下JWTJWT就是一个字符串,经过加密处理与校验处理的字符串,由三个部分组成。基于token的身份验证可以替代传统的cookie+session身份验证方法。三个部分分别如下:header.payload.signatureheader部分组成header 格式为:{"typ":"JWT","alg":"HS256"}这就是一个json串,两个字段都是必须的,alg字段指定了生成signat...
phpjwt
xiaonanhaijing的博客
01-24 951
不解释什么是jwt 需要理解请进入下面链接 http://www.ruanyifeng.com/blog/2018/07/json_web_token-tutorial.html <?php /* * This file is part of jwt-auth. * * (c) Sean Tymon <tymon148@gmail.com> * * For the full copyright and license information, please view th
php jwt redis实现,token自动续期实现:jwt+redis
weixin_32141253的博客
03-23 1262
传统的会话认证使用的是session+cookie,前后端分离的项目,更多使用的是token。本文主要实现的token,基于eggjs+redis+jwt+cookietoken会话流程图先来了解最终实现的token会话流程图对几个关键流程,做以下记录服务端使用JWT生成token在使用JWT前,需要提前准备公钥/私钥,怎么生成密钥,可参考:https://www.imqianduan.com/s...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值