摘抄一篇JWT

最新推荐文章于 2023-06-14 10:19:36 发布
最新推荐文章于 2023-06-14 10:19:36 发布
阅读量89 收藏
点赞数
分类专栏: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39397377/article/details/110174312
版权

来自 --- 找不到了,如果有人发现来源,请发个链接。

手写一遍 ,加深 印象。

使用tp框架,JWT写成了一个 中间件。

原理是php把一堆数据加密生成token给前段,前段请求接口带着这个token,php 解析token进行 验证。

需要在public/.htaccess加一行
SetEnvIf Authorization .+ HTTP_AUTHORIZATION=$0

1. 加密解密

    /**
     * 加密
     * 将 +/ 替换成 -_
     * 将 = 删除
     */
    private function base64UrlEncode($input): string
    {
        return str_replace('=', '', strtr(base64_encode($input), ['+/' => '-_']));
    }

    /**
     * 解密
     * 关于 %4 百度一下 base64_encode
     */
    private function base64UrlDecode($input)
    {
        $remainder = strlen($input) % 4;
        if ($remainder) {
            $addlen = 4 - $remainder;
            $input .= str_repeat('=', $addlen);
        }
        return base64_decode(strtr($input, ['-_' => '+/']));
    }

2. 生成签名

    /**
     * HMACSHA256 签名
     */
    private function signature($input, $key, $alg = 'HS256')
    {
        $alg_config = [
            'HS256' => 'sha256'
        ];
        return $this->base64UrlEncode(hash_hmac($alg_config[$alg], $input, $key, true));
    }

3. 生成token之前的一些配置

    // 定义头部
    private $header = [
        'alg' => 'HS256', // 生成signature的算法
        'typ' => 'JWT' // 类型
    ];

    // 统一时间
    private $time = 0;

    public function __construct()
    {
        $this->time = time();
    }

    // 需要加密的信息
    private $payload;

    // 过期时间
    private $ttl = 10;
    private $refreshTtl = 7200;

    // 使用HMAC生成信息摘要时所使用的秘钥
    private $key = '123456';

    // 是否开启黑名单,开启后再校验token的时候会检查黑名单
    private $openBlackList = false;

    // 设置加密信息
    private function setPayload(array $pay = [])
    {
        $this->payload = [
            'iss' => 'jwt_admin', // 该JWT的签发者
            'iat' => $this->time, // 签发时间
            'exp' => $this->time, // 过期时间
            'nbf' => $this->time, // 改时间之前不接受处理该token
            'jti' => md5(uniqid('JWT') . $this->time), // 该token的唯一标识
            'sub' => '1', // 面向的用户,比如用户id
        ];
        $this->payload = array_merge($this->payload, $pay);
    }

    // 设置过期时间
    public function setTtl(int $seconds)
    {
        if ($seconds > 0) {
            $this->ttl = $seconds;
        }
    }

4. 生成 token

    /**
     * 生成token
     */
    public function createToken(array $payload)
    {
        $this->setPayload($payload);

        if (is_array($this->payload)) {
            $base64header = $this->base64UrlEncode(json_encode($this->header, JSON_UNESCAPED_UNICODE));
            $base64payload = $this->base64UrlEncode(json_encode($this->payload, JSON_UNESCAPED_UNICODE));
            $signature = $this->signature($base64header . '.' . $base64payload, $this->key, $this->header['alg']);
            $token = $base64header . '.' . $base64payload . '.' . $signature;
            return $token;
        } else {
            return false;
        }
    }

5. 验证token

    /**
     * 验证token
     */
    public function verifyToken($token)
    {
        $token1 = explode(' ', $token);
        if (count($token1) !== 2) {
            return false;
        }
        $tokens = explode('.', $token1[1]);
        if (count($tokens) !== 3) {
            return false;
        }
//        dd($tokens);
        list($base64header, $base64payload, $sign) = array_map(function($v){ return trim($v);},$tokens);

        // 获取jwt算法
        $base64decodeheader = json_decode($this->base64UrlDecode($base64header), true);
        if (empty($base64decodeheader['alg'])) {
            return false;
        }

        // 签名验证
        if ($this->signature($base64header . '.' . $base64payload, $this->key, $base64decodeheader['alg']) !== $sign) {
            return false;
        }

        $payload = json_decode($this->base64UrlDecode($base64payload), true);

        // 判断黑名单 $payload['jti']
        if ($this->openBlackList) {
//            return true;
        }

        // 签发时间大于当前服务器时间验证失败
        if (isset($payload['iat']) && $payload['iat'] > $this->time) {
//            return false;
        }

        // 过期时间小于当前服务器时间验证失败
        if (isset($payload['exp']) && $payload['exp'] < $this->time) {
//            return false;
        }

        // 该nbf时间之前不接收处理该token
        if (isset($payload['nbf']) && $payload['nbf'] > $this->time) {
//            return false;
        }

        return $payload;
    }

 

RS_ONLY
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
基于Token登录验证与统一拦截(一个JWT的Demo)
诺浅的专栏
12-14 1249
为什么要采用Token做登录验证 上一篇文章我们讲述了基于session+cookie的登录逻辑怎么做,这种模式在服务端为单体应用的且客户端为PC端浏览器是没有问题的,但是如果服务端做集群部署的话就需要考虑的session的统一存储,且这种模式不适用与APP端,毕竟APP端不会像浏览器那样自己管理cookie.此时采用JWT就是一个很好的选择,服务端无需存储token,也就更加适用于集群部署的情况,这也就是所说的无状态。 一个JWT的Demo 引入jwt依赖包 <dependency>
JWT学习笔记
01-21
作为一名IT行业大师,我将详细解释JWT的概念、特点、优势和应用场景。 什么是JWT? JSON Web TokenJWT)是一种基于JSON的Web令牌,用于在各方之间安全地传输信息。它可以完成数据加密、签名等相关处理。在数据...
PHP后端是如何实现JWT认证的
疯子源
05-24 476
什么是JSON Web Token? JSON Web TokenJWT)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间以JSON方式安全地传输信息。由于此信息是经过数字签名的,因此可以被验证和信任。可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对对JWT进行签名。 直白的讲jwt就是一种用户认证(区别于session、cookie)的解决方案。 出现的背景 众所周知,在jwt出现之前,我们已经有session、cookie来解决用户登录等
谈谈JWT
Healist的博客
01-03 335
介绍JWT:JSON Web Token 是一种用于双方之间传递安全信息的简洁的、URL安全的表述性声明规范。JWT作为一个开放的标准( RFC 7519 ),定义了一种简洁的,自包含的方法用于通信双方之间以Json对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名。特点 简洁: 可以通过URL,POST参数或者在HTTP he
cookie,session和token相关(摘抄于别处)
m0_63431527的博客
06-14 88
当 server 收到浏览器传过来的 token 时,它会首先取出 token 中的 header+payload,根据密钥生成签名,然后再与 token 中的签名比对,如果成功则说明签名是合法的,即 token 是合法的。Cookie,有时也用其复数形式 Cookies。所以不管是 cookie 还是 token,从存储角度来看其实都不安全,都有暴露的风险,我们所说的安全更多的是强调传输中的安全,可以用 HTTPS 协议来传输, 这样的话请求头都能被加密,也就保证了传输中的安全。
【推荐】最新200篇:技术文章整理
KobeHoo的博客
06-05 1353
作为面试官,我是如何甄别应聘者的包装程度Go语言和Java、python等其他语言的对比分析 Redis和MySQL Redis:主从复制的原理详解Redis:RDB 和 AOF 持久化的原理是什么?Redis:面试中经常被问到的 Redis 持久化与恢复Redis:实现故障恢复自动化:详解Redis哨兵技术Redis:查漏补缺:最易错过的技术要点大扫盲MySQL:意外宕机不难解决,但你真的懂数据恢复吗MySQL:每秒57万的写入,带你飞MySQL:三大知识点,索引、锁、事务,原理分析MySQL:查询速
如何写一手好 SQL ?
java思维导图
04-04 93
领读:写一手好Sql,对开发人员很重要,你是否也会遇到sql执行时间过长,不懂怎么优化?来看看这篇文章吧,说不能能解答你现在的疑惑!作者:编码砖家https://www.cnblogs...
前端面试查漏补缺--(十) 前端鉴权
a15732111571的博客
03-22 642
本系列最开始是为了自己面试准备的.后来发现整理越来越多,差不多有十二万字符,最后决定还是分享出来给大家. 为了分享整理出来,花费了自己大量的时间,起码是只自己用的三倍时间.如果喜欢的话,欢迎收藏,关注我!谢谢! 文章链接 前端面试查漏补缺–(一) 防抖和节流 前端面试查漏补缺–(二) 垃圾回收机制 前端面试查漏补缺–(三) 跨域及常见解决办法 前端面试查漏补缺–(四) 前端本地存储 前端面试查漏补...
Spring Authorization Server入门 (一) 初识SpringAuthorizationServer和OAuth2.1协议
热门推荐
云逸的博客
06-01 1万+
Spring authorization server是由社区推动的一个项目,在Spring security团队的领导下基于Nimbus库重头编写,其目的主要是为 Spring 社区提供 OAuth 2.0 授权服务器支持,替代已被废弃的Spring Security OAuth框架。Spring authorization server提供了OAuth 2.1和OpenID Connect 1.0规范以及其他相关规范的实现。
【Shiro权限管理实例】Spring Boot + Spring Cloud 实现权限管理系统 后端篇:集成 Shiro 框架
qgnczmnmn的博客
09-05 573
原文链接:https://www.cnblogs.com/xifengxiaoma/p/9569793.html. Apache Shiro 优势特点 它是一个功能强大、灵活的,优秀开源的安全框架。 它可以处理身份验证、授权、企业会话管理和加密。 它易于使用和理解,相比Spring Security入门门槛低。 主要功能 验证用户身份 用户访问权限控制 支持单点登录(SSO)功能 可以...
JWT爆破篡改工具-离线
最新发布
04-03
从爆破到篡改,完美闭环
JWT Token生成及验证
07-16
JSON Web TokenJWT)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为JSON对象。这种信息可以被验证和信任,因为它是数字签名的。JWT在身份验证和授权场景中广泛应用...
JWT 实战教程_jwt_
10-01
JWT(JSON Web Token)是一种轻量级的身份验证标准,用于在网络应用之间安全地传输信息。它通过使用数字签名来确保数据的完整性和真实性。JWT在Spring Boot中的整合是常见的应用场景,尤其是在构建RESTful API时,它...
jwt.rar_jwt
09-22
JWT,全称JSON Web Token,是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为一个 JSON 对象。这个信息可以被验证和信任,因为它是数字签名的。JWT 已经被广泛用于实现...
微信获取openid遇到的一些问题
weixin_39397377的博客
04-07 2448
以前写好的一些代码,最近用的时候不知道为啥,就是获取不到...1.微信那些授权什么的都绑定好,需要分享的话,那么当前页面的地址要和分享里写的地址一致(谨记)2.获取code那一步有个header,要在后边写个exit。3.刷新的时候,又一次访问当前页面,记住是单独访问当前页面。如果有参数,而且是从其他方法传过来的,就会出问题。4.先进入方法a,方法中调用方法b,方法b渲染模板并跳转。那这就错了。a...
phpstorm 多光标
weixin_39397377的博客
02-24 923
自由多光标:alt + 鼠标左键 搜索多光标:选中一个字符,alt+j
微信绑定服务器
weixin_39397377的博客
04-19 498
1.你代码里的token一定要和微信里填的一样。我遇到的问题是,用的别人的框架,他在config中定义了token,结果我在控制器怎么定义都没用,后才打印出来才找到这问题。ok完了,就这么一步。2.还是贴一点代码吧,debug用模式描述r打开文件为只读。文件指针在文件的开头开始。w打开文件为只写。删除文件的内容或创建一个新的文件,如果它不存在。文件指针在文件的开头开始。a打开文件为只写。文件中的现...
yii中 afterSave
weixin_39397377的博客
06-02 432
$model = new Model(); $model->load(Yii::$app->request->post()); $model->sav 经常会用到load方法,前后端配合好的话很方便。
给一个 jwt 的例子
05-30
好的,以下是一个 JWT 的例子: ``` eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c ``` 这个 JWT 由三个部分组成,每个部分都由 . 分隔开来: - 头部(Header):eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9 - 载荷(Payload):eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ - 签名(Signature):SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c 其中,头部和载荷都是经过 Base64 编码的 JSON 对象,签名则是用于验证 JWT 真实性的字符串。可以通过将头部和载荷进行 Base64 解码,再加上一个秘钥,使用指定的算法(例如 HS256)生成签名。在验证 JWT 时,可以使用相同的秘钥和算法,对头部和载荷进行 Base64 解码并生成签名,然后将生成的签名与 JWT 中的签名进行比较,如果一致说明 JWT 有效,否则 JWT 无效。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值