laravel5.4框架jwt-auth 实现API用户认证

最新推荐文章于 2024-06-04 18:00:57 发布
置顶 最新推荐文章于 2024-06-04 18:00:57 发布
阅读量2.8k 收藏 3
点赞数 1
分类专栏: PHP/Laravel大杂烩 文章标签: laravel jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011053407/article/details/79741932
版权

laravel5.4框架jwt-auth 实现API用户认证

本文主要介绍JWT([JSON Web Token])授权机制在前后端分离中的应用与实践,包括以下三部分:
- JWT原理介绍
- JWT的安全性
- JWT与Vue的使用

1、JWT原理介绍

1.1、cookie and session

用户授权往往还是采用Cookie+Session的方式,也就是需要原生应用中模拟浏览器对Cookie的操作
Cookie+Session的存在主要是为了解决HTTP这一无状态协议下服务器如何识别用户的问题,其原理就是在用户登录通过验证后,服务端将数据加密后保存到客户端浏览器的Cookie中,同时服务器保留相对应的Session(文件或DB)。用户之后发起的请求都会携带Cookie信息,服务端需要根据Cookie寻回对应的Session,从而完成验证,确认这是之前登陆过的用户。其工作原理如下图所示:

1.2、jwt

JWT是Auth0提出的通过对JSON进行加密签名来实现授权验证的方案,编码之后的JWT看起来是这样的一串字符:可以参考jwt.io
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ
.分为三段,通过解码可以得到:

// 1. Headers
// 包括类别(typ)、加密算法(alg);
{
  "alg": "HS256",
  "typ": "JWT"
}
// 2. Claims
// 包括需要传递的用户信息;
{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}
// 3. Signature
// 根据alg算法与私有秘钥进行加密得到的签名字串;
// 这一段是最重要的敏感信息,只能在服务端解密;
HMACSHA256(
    base64UrlEncode(header) + "." +
    base64UrlEncode(payload),
    SECREATE_KEY
)

在使用过程中,服务端通过用户登录验证之后,将Header+Claim信息加密后得到第三段签名,然后将签名返回给客户端,在后续请求中,服务端只需要对用户请求中包含的JWT进行解码,即可验证是否可以授权用户获取相应信息,其原理如下图所示:
jwt auth
通过比较可以看出,使用JWT可以省去服务端读取Session的步骤,这样更符合RESTful的规范。但是对于客户端(或App端)来说,为了保存用户授权信息,仍然需要通过Cookie或类似的机制进行本地保存。因此JWT是用来取代服务端的Session而非客户端Cookie的方案,当然对于客户端本地存储,HTML5提供了Cookie之外更多的解决方案(localStorage/sessionStorage),究竟采用哪种存储方式,其实从Js操作上来看没有本质上的差异,不同的选择更多是出于安全性的考虑。

2、JWT的安全性

用户授权这样敏感的信息,安全性当然是首先需要考虑的因素。这里主要讨论在使用JWT时如何防止XSS和XSRF两种攻击。

XSS是Web中最常见的一种漏洞(我们的**学报官网就存在这个漏洞这件事我就不说了=.=),其主要原因是对用户输入信息不加过滤,导致用户(被误导)恶意输入的Js代码在访问该网页时被执行,而Js可以读取当前网站域名下保存的Cookie信息。针对这种

最低0.47元/天 解锁文章
小白白打酱油
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用Laravel集成JWT认证开发RestfulApi
weixin_43814458的博客
05-09 584
在使用跨平台应用程序时, API 是一个非常不错的选择。 除了网站,您的产品可能还有 Android 和 iOS 应用程序。 在这种情况下, API 也是同样出色的,因为您可以在不更改任何后端代码的情况下编写不同的前端。 使用 API 时,只需使用一些参数点击 GET , POST 或其他类型的请求,服务器就会返回 JSON (JavaScript Object Notation) 格式的一些数据,这些数据由客户端应用程序处理。 说明 我的官方群点击此处。 我们先写下我们的应用程序详细信息和功能。 我
laravel使用JWTAPI认证
weixin_34194359的博客
09-13 289
最近项目做API认证,最终技术选型决定使用JWT,项目框架使用的是laravellaravel使用JWT有比较方便使用的开源包:jwt-auth。 使用composer安装jwt-authlaravel使用的框架版本为5.0,jwt-auth最新稳定版本为0.5.12。(最新版为1.0.*,需laravel5.4以上) compose...
Laravel 中使用 jwt-auth 实现用户 Token 登录验证(案例实战)
最新发布
雾里看花的博客
06-04 1206
jwt-auth(JSON Web Token Authentication)是一种基于 JSON Web Token(JWT)的用户认证机制。它是一个流行的身份验证方案,通过在用户登录后生成令牌(Token),并在每次请求中传递该令牌来验证用户身份。JWT Token 的结构一般包含三部分:Header、Payload 和 Signature。Header 包含了 Token 类型和算法信息;Payload 包含了 Token 的声明和自定义的附加信息;
Laravel 中使用 JWT 认证Restful API
weixin_30325487的博客
04-27 322
Laravel 中使用 JWT 认证Restful API 5天前/678/3/更新于 3天前 在此文章中,我们将学习如何使用 JWT 身份验证在 Laravel 中构建 restful APIJWT 代表 JSON Web Tokens 。 我们还将使用 API用户产品创建功能齐全的 CRUD 应用。 在使用跨平台应用程序...
微信小程序 授权登录+手机发送验证码+jwt验证接口(laravel8+php)
SunNang的博客
02-16 2507
参考博客小程序授权登录并 laravel7(laravel8) token 应用 - 王越666 - 博客园 .wxml(授权登录页面) <!--前台页面,通过判断决定展示登录还是信息--> <view wx:if="{{isHide}}"> <view wx:if="{{canIUse}}" > <view class='header'> <image src='/images/x.jpg'&gt.
laravel8+jwt+邮箱注册验证
热门推荐
Challfate的博客
06-08 1万+
基于Laravel框架RESTful设计准则,按照前后端分离的开发形式来实现简单的用户注册和登录。 (1)实现Email形式的注册功能和相应的登录功能,注册部分具备邮件激活功能 (2)实现忘记密码时通过重置密码邮件设置新密码 (3)包含对某个物品的操作,以RESTful API风格进行; (4)使用JWT认证(JSON Web Tokens) ...
laravel8-使用jwt
weixin_43295023的博客
04-20 1227
laravel8-使用jwt jwt-官方网址 https://jwt-auth.readthedocs.io/en/develop/laravel-installation 安装 第一步:composer拉取最新版本 composer require tymon/jwt-auth 第二步:添加服务提供者(Laravel 5.4 或以下) 将服务提供者添加到配置文件 config/app.php 中的 providers 数组中,如下所示: 'providers' => [ ...
laravel5.5安装jwt-auth 生成token令牌的示例
10-16
今天小编就为大家分享一篇laravel5.5安装jwt-auth 生成token令牌的示例,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
Laravel开发-jwt-auth
08-28
JWT-auth是一个流行的身份验证解决方案,它为Laravel和Lumen提供了轻量级且安全的方式来处理用户认证。通过使用JWT,我们可以实现无状态的身份验证,这在API开发中尤其重要。 首先,让我们了解JWT的基本概念。JWT是...
Laravel开发-jwt-auth-multiple-keys
08-28
Laravel框架中,JWT(JSON Web Token)通常用于实现用户认证和授权,因为它提供了安全、轻量级的身份验证机制。Tymon/jwt-auth是一个非常流行的Laravel扩展,它为Laravel添加了JWT支持。然而,原版的jwt-auth只...
laravel-vuejs-jwt-auth:使用Laravel通过Vue.js用户界面构建基于JSON Web令牌的身份验证
03-02
laravel-vuejs-jwt-auth 使用Laravel通过Vue.js 2.x用户界面构建基于JSON Web令牌的身份验证 此版本使用的版本 Laravel 5.2 JWT身份验证v0.5.9 Nodejs v6.9.4 NPM v3.10.10 Vue v2.1.1 Vue-CLI v2.8.1 Vue资源v1.2.0 Vue路由器v2.1.0 Webpack v2.2.0 请参阅resources / package.json以获取更多信息 去做 刷新令牌 当前用户的访问令牌已刷新。 在以下情况下可能会发生这种情况: 访问令牌过期:这是一种常见情况。 刷新令牌用于获取一组新的有效令牌。 用户更改密码:服务器发布新的刷新令牌,并使旧令牌过期。 用户重新进行身份验证:某些操作要求最近颁发用户凭据。 此类操作包括删除帐户,设置主电子邮件地址和更改密码。
Laravel开发-laravel-jwt-auth
08-28
composer require tymon/jwt-auth ``` 安装完成后,需要配置JWT Auth。在`config/app.php`中,添加服务提供者和门面: ```php 'providers' => [ // ... Tymon\JWTAuth\Providers\LaravelServiceProvider::class,...
laravel 开发的双语网站_[教程] Laravel 中使用 JWT 认证Restful API
weixin_39550410的博客
11-21 192
文章转发自专业的Laravel开发者社区,原始链接:https://learnku.com/laravel/t/27760在此文章中,我们将学习如何使用 JWT 身份验证在 Laravel 中构建 restful APIJWT 代表 JSON Web Tokens 。 我们还将使用 API用户产品创建功能齐全的 CRUD 应用。在使用跨平台应用程序时, API 是一个非常不错的选择。...
laravel 使用jwt 实现api
weixin_38615720的博客
01-15 1000
1:安装 tymon/jwt-auth 扩展包 让我们在这个 Laravel 应用中安装这个扩展包。如果您正在使用Laravel 5.5 或以上版本,请运行以下命令来获取dev-develop版本的 JWT 包: composer require tymon/jwt-auth:dev-develop --prefer-source 如果您正在使用Laravel 5.4 或以下版本,那...
jwt laravel_如何构建仅由JWT驱动的APILaravel应用
culh2177的博客
08-17 210
jwt laravelThe Laravel API Boilerplate (JWT Edition) was made on the shoulders of giants like: Laravel API Boilerplate(JWT版)是在巨人的肩膀上制成的,例如: Dingo API; Dingo API ; JWT-Auth, by tymondesigns; JWT-Auth...
使用laraveljwt-token?组件(三)
LiYi
12-06 681
使用laraveljwt-token?组件(三)配置文件介绍 前面介绍了jwt的组成,以及怎么手动实现,现在我们就要使用那些有才能的人为我们封装好的组件,我们直接使用,就是调用别人的方法,调一下配置文件就OK了。 首先我们来修改一下config/jwt.php这个配置文件 return = [ 'secret' =&gt; env('JWT_SECRET','xxxyyyzzz'),//这个就是...
php-jwt 过期,jwt-auth ttl 过期设置为 null 的坑
weixin_32937021的博客
04-04 1009
jwt-auth 配置文件如果ttl 的过期时间设置为null的话请将下面的required_claims 数组中的exp 这个过期必要字段注释掉。因为在检查比对的时候 如果ttl 设置为null 程序会把exp字段从default claim选项中删除,导致token永远产生不出来但是会报一个异常 ,如果有写异常检查的话很容易发现,如果没有下异常处理,那只能像我一样,把代码翻一遍了。定位文件位置...
Laravel 5.5 使用 Jwt-Auth 实现 API 用户认证、刷新令牌(一)
woqianduo的博客
11-16 9701
需求: 新项目,采用前后端分离的模式,前端使用 Vue.js,后端使用 Laravel 5.5构建 Api 服务,用户认证的包使用 jwt-auth 。 概述: JWT(JSON Web Token)是一个非常轻巧的规范。这个规范允许我们使用JWT用户和服务器之间传递安全可靠的信息。一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。 更详细讲解地址:https://laravel...
laravel 安装jwt认证
06-13
要在 Laravel 中安装 JWT 认证,需要执行以下步骤: 1. 使用 Composer 安装 `tymon/jwt-auth` 组件。 ``` composer require tymon/jwt-auth ``` 2. 发布 JWT 配置文件。 ``` ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值