aud to php,php接口数据安全解决方案(二)

最新推荐文章于 2024-03-18 17:59:28 发布
最新推荐文章于 2024-03-18 17:59:28 发布
阅读量227 收藏
点赞数
文章标签: aud to php

前言

JWT是什么

JWT是json web token缩写。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。基于token的身份验证可以替代传统的cookie+session身份验证方法。

它定义了一种用于简洁,自包含的用于通信双方之间以 JSON 对象的形式安全传递信息的方法。JWT 可以使用 HMAC 算法或者是 RSA 的公钥密钥对进行签名。

本实例是使用github开源项目来实现,项目地址为

点击查看源jwt项目代码

怎么使用jwt项目?

1.阅读GitHub上项目文档说明

2.composer安装jwt(composer require lcobucci/jwt)

3.引用vendor中autoload.php文件实现jwt类自动加载

实例演示token签名并创建token

include "./vendor/autoload.php";

use Lcobucci\JWT\Builder;

use Lcobucci\JWT\Signer\Hmac\Sha256;

$time = time();

$token = (new Builder())->setHeader('alg','HS256')

//配置发行者

->setIssuer("jwtTest")

//配置Audience

->setAudience("php")

//配置令牌发出的时间(签发时间)

->setIssuedAt($time)

//配置令牌该时间之前不接收处理该Token

->setNotBefore($time+60)

//配置令牌到期的时间

->setExpiration($time + 7200)

//配置一个自定义uid声明

->set('uid',20)

//使用sha256进行签名,密钥为123456

->sign(new Sha256(),"123456")

//获取token

->getToken();

// echo $token;

//获取设置所有header头

$headers = $token->getHeaders();

//获取所有的配置

$claims = $token->getClaims();

$alg = $token->getHeader('alg');

$iss = $token->getClaim('iss');

$aud = $token->getClaim('aud');

$iat = $token->getClaim('iat');

$exp = $token->getClaim('exp');

$nbf = $token->getClaim('nbf');

$uid = $token->getClaim('uid');

echo "=====下面是设置的header头信息======
";

echo "当前token的alg盐值为{$alg}
";

echo "=====下面是所有配置信息
";

echo "当前token的发行者是:{$iss}
";

echo "当前token的Audience是:{$aud}
";

echo "当前token的令牌发出时间是:{$iat}
";

echo "当前token不接收处理的时间为:{$nbf}
";

echo "当前token的到期时间:{$exp}
";

echo "当前token的uid是:{$uid}
";

echo "当前token字符串为:{$token}";

结果展示:

=====下面是设置的header头信息======

当前token的alg盐值为HS256

=====下面是所有配置信息

当前token的发行者是:jwtTest

当前token的Audience是:php

当前token的令牌发出时间是:1563246935

当前token不接收处理的时间为:1563246995

当前token的到期时间:1563254135

当前token的uid是:20

当前token字符串为:eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJqd3RUZXN0IiwiYXVkIjoicGhwIiwiaWF0IjoxNTYzMjQ2OTM1LCJuYmYiOjE1NjMyNDY5OTUsImV4cCI6MTU2MzI1NDEzNSwidWlkIjoyMH0.O8tscKPweCvSaXkOVbmhtEcsJ7BWRxRn9s_xXFstgsE

解析token并校验token合法性

include "./vendor/autoload.php";

use Lcobucci\JWT\Builder;

use Lcobucci\JWT\Parser;

use Lcobucci\JWT\Signer\Hmac\Sha256;

use Lcobucci\JWT\ValidationData;

//解析token

$token = 'eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJqd3RUZXN0IiwiYXVkIjoicGhwIiwiaWF0IjoxNTYzMjQ2Mjc4LCJuYmYiOjE1NjMyNDYzMzgsImV4cCI6MTU2MzI1MzQ3OCwidWlkIjoyMH0.1XSZW6aWrHplAlMPMpc1K5gKdpWYE7AMa6T7qhBTF30';

//解析后的token对象

$decodeToken = (new Parser())->parse((string) $token);

$uid = $decodeToken->getClaim('uid');

$exp = $decodeToken->getClaim('exp');

$time = time();

echo "当前时间为:{$time}
";

$result = $decodeToken->verify(new Sha256(),"123456");

//对token进行发行者和audience的校验

$data = new ValidationData();

$data->setAudience("php");

$data->setIssuer("jwtTest");

$resultVali = $decodeToken->validate($data);

// print_r($resultVali);

//判断token签名和校验发行者是否合法

if($result && $resultVali){

//如果设置的token有效时间大于当前时间则表示token过期了

if($time>$exp){

echo "该token已经过期了
";

}else{

echo "该token是合法的uid为:{$uid},过期时间为{$exp}
";

}

}else{

echo "该token不合法签名错误或发行者不合法
";

}

运行后结果为:

当前时间为:1563248373

该token是合法的uid为:20,过期时间为1563253478

类库封装管理jwt实例

include "./vendor/autoload.php";

use Lcobucci\JWT\Builder;

use Lcobucci\JWT\Parser;

use Lcobucci\JWT\Signer\Hmac\Sha256;

use Lcobucci\JWT\ValidationData;

use Lcobucci\JWT\Claim\GreaterOrEqualsTo;

use Lcobucci\JWT\Token;

/**

* Class JwtAuth

* @package App\Library

* @desc jwt接口鉴权类处理

*/

class JwtAuth{

//jwt token

private $token;

/**

* @var 用户传递的decode token

*/

private $decodeToken;

private static $_instance;

private $iss = "jwtTest";

private $aud = "php";

private $uid;

private $serect = "123456";

private $exp;//token失效时间

const EXP = 60;//token有效时间一个月

/**

* JwtAuth constructor.

* 私有化construct方法

*/

private function __construct()

{

}

/**

* 私有化clone方法

*/

private function __clone()

{

// TODO: Implement __clone() method.

}

/**

* 获取jwtauth类实例化对象

*/

public static function getInstance(){

if(!(self::$_instance instanceof JwtAuth) ){

self::$_instance = new JwtAuth();

}

return self::$_instance;

}

/**

* 获取token

* @return string

*/

public function getToken(){

return (string)$this->token;

}

/**

* 设置token

* @param $token

* @return $this

*/

public function setToken($token){

$this->token = $token;

return $this;

}

/**

* 设置uid

* @param $uid

* @return $this

*/

public function setUid($uid){

$this->uid = $uid;

return $this;

}

/**

* 获取uid

* @return mixed

*/

public function getUid(){

return $this->uid;

}

/**

* 获取exp

* @return mixed

*/

public function getExp(){

return $this->exp;

}

/**

* 编码jwt token

*/

public function encode(){

$time = time();

$this->token = (new Builder())->setHeader('alg','HS256')

->setIssuer($this->iss)

->setAudience($this->aud)

->setIssuedAt($time)

->setExpiration($time + self::EXP)

->set('uid',$this->uid)

->sign(new Sha256(),$this->serect)

->getToken();

return $this;

}

/**

* 解析传递的token

* @return 用户传递的decode

*/

public function decode(){

if(!$this->decodeToken){

// Parses from a string

$this->decodeToken = (new Parser())->parse((string) $this->token);

$this->uid = $this->decodeToken->getClaim('uid');

$this->exp = $this->decodeToken->getClaim('exp');

// error_log('exp:'.$this->decodeToken->getClaim('exp'));

// error_log('uid:'.$this->decodeToken->getClaim('uid'));

}

return $this->decodeToken;

}

/**

* verify校验token signature串第三个字符串

* @return mixed

*/

public function verify(){

$result = $this->decode()->verify(new Sha256(),$this->serect);

return $result;

}

/**

* 校验传递的token是否有效,校验前两个字符串

* @return mixed

*/

public function validate(){

$data = new ValidationData();

$data->setAudience($this->aud);

$data->setIssuer($this->iss);

return $this->decode()->validate($data);

}

}

/*

@desc 模拟登录返回token

*/

$jwtAuth = JwtAuth::getInstance();

$uid = 20;

$token = $jwtAuth->setUid($uid)->encode()->getToken();

echo "当前已经为您生成最新token:{$token}
";

/*

1.解析token

2.校验token签名是否合法

3.验证token发行者等信息是否合法

4.校验token是否过期

*/

$token = 'eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJqd3RUZXN0IiwiYXVkIjoicGhwIiwiaWF0IjoxNTYzMjY4NjExLCJleHAiOjE1NjMyNjg2NzEsInVpZCI6MjB9.PeEA3xTE2lKl4YCYQ2cjHSNYsrJ24HRnW1-yKM-LgHc';

$jwtAuth2 = JwtAuth::getInstance();

$jwtAuth2->setToken($token);

if($jwtAuth2->validate() && $jwtAuth2->verify()){

//初始化用户id

$uid = $jwtAuth2->getUid();

$exp = $jwtAuth2->getExp();

echo "token合法,您当前的uid为:{$uid},当前时间戳为:".time()."token有效时间为:{$exp}
";

}else{

echo "token校验失败,token签名不合法,或token发行者信息不合法
";

}

演示结果为

当前已经为您生成最新token:eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJqd3RUZXN0IiwiYXVkIjoicGhwIiwiaWF0IjoxNTYzMjY4NjIzLCJleHAiOjE1NjMyNjg2ODMsInVpZCI6MjB9.BrsVElhVkTIq5xH3-JpvqvawNhDALb98VYZGbMTzWV8

token合法,您当前的uid为:20,当前时间戳为:1563268623token有效时间为:1563268671

当前已经为您生成最新token:eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJqd3RUZXN0IiwiYXVkIjoicGhwIiwiaWF0IjoxNTYzMjY4NzA1LCJleHAiOjE1NjMyNjg3NjUsInVpZCI6MjB9.juTM5iG8LNDid8Sp4jOjtHeTitaIB2WxZeW3GjnQrB0

token校验失败,token签名不合法,或token发行者信息不合法

我要抢一个娘亲
关注
网络安全从入门到精通(特别篇I):Linux安全事件应急响应之Linux应急响应基础必备技能
HACKONE的博客
04-10 157
awk 首先将每条日志中的IP抓出来,如日志格式被自定义过,可以 -F 定义分隔符和 print指定列;
Spring Boot入门教程(五十一): JSON Web Token(JWT)
人不风流枉少年
11-14 1万+
一:认证 在了解JWT之前先来回顾一下传统session认证和基于token认证。 1.1 传统session认证 http协议是一种无状态协议,即浏览器发送请求到服务器,服务器是不知道这个请求是哪个用户发来的。为了让服务器知道请求是哪个用户发来的,需要让用户提供用户名和密码来进行认证。当浏览器第一次访问服务器(假设是登录接口),服务器验证用户名和密码之后,服务器会生成一个sessionid(只...
ctfhub 技能树 JSON Web Token 弱秘钥
devil8123665的博客
01-21 5580
1、题目提示:如果JWT采用对称加密算法,并且密钥的强度较弱的话,攻击者可以直接通过蛮力攻击方式来破解密钥。尝试获取flag 2、burpsuit抓包 3、获取token进行暴力破解 eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VybmFtZSI6ImFkbWluIiwicGFzc3dvcmQiOiJwYXNzd29yZCIsInJvbGUiOiJndWVzdCJ9.xCCx-8iRz4HybhQ5iz3zHLniJ5koa7iflMALlaos6ic
测试JWT加密过程
Leon_Jinhai_Sun的博客
01-03 8810
import com.auth0.jwt.JWT; import com.auth0.jwt.JWTVerifier; import com.auth0.jwt.algorithms.Algorithm; import com.auth0.jwt.interfaces.DecodedJWT; import org.junit.jupiter.api.Test; import org.springframework.boot.test.context.SpringBootTest; import java.
python自动化接口获取token值方法
weixin_39539041的博客
01-07 6851
前言: 在做接口测试中我们经常会遇到需要一个登陆token,或者获取其他用到的参数来关联下一个接口用到的参数。在接口自动化测试中怎么样能获取到token? 1.在返回参数中,获取: { “code”: 200, “message”: “操作成功”, “token”: “eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJhdWQiOiJ3ZWIiLCJpc3” } # 获取token str_1 = { "code": 200, "message": "操作成功", "t
Python接口自动化之Token详解及应用
07-27 8515
在上一篇Python接口自动化测试系列文章:Python接口自动化之cookie、session应用,介绍了cookie、session原理及在自动化过程中如何利用cookie、session保持会话状态。 以下介绍Token原理及在自动化中的应用。 一、Token基本概念及原理 1、Token作用 为了验证用户登录情况以及减轻服务器的压力,减少频繁的查询数据库,使服务器更加健壮。 2、什么是Token Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次...
BUUCTF刷题记录[RootersCTF2019]ImgXweb——JWT验证问题
u013119911的博客
07-02 8384
JWT
PHP JWT初识及其简单示例
10-17
需要注意的是,虽然JWT是一种广泛使用的标准,但它并不是一种安全的解决方案,开发者需要正确地使用JWT,并在使用过程中注意安全风险,比如不要把敏感信息存储在JWT中,因为用户可以轻易地看到载荷内容。同时,还要...
数据库国产化探究及升级改造过程指导
最新发布
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
03-18 1867
当前官网最新版本为DM8,相较于目前主流产品架构:不同特性依靠不同内核去实现,DM8独特采用了双存储引擎架构,行存储引擎和列存储引擎可相互配合、协同工作。同时实现了计算层和存储层的分离,同一内核既支持共享存储式集群,也支持分布式事务集群。
Windows应急响应和系统加固(12)——SQL Server/MySQL/Oracle日志提取和安全分析
liudianjia的博客
03-10 643
MS SQL Server/MySQL/Oracle日志提取和安全分析 一、MS SQL Server日志分析: 1.MS SQL Server数据库简介: Microsoft SQL Server,是微软推出的关系型数据库解决方案(Relational Database Management System:RDBMS),使用方便,可伸缩性好,且与相关软件集成程度高等优点,因而被广泛使用。 Mic...
PHP接口数据安全解决方案
热门推荐
withoutfear的博客
10-08 1万+
前言 实例演示token签名并创建token 解析token并校验token合法性 类库封装管理jwt实例 前言 JWT是什么 JWT是json web token缩写。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。基于token的身份验证可以替代传统的cookie+session身份验证方法。 它定义了一种用于简洁,自包含的用于通信双方之间以 JSON 对象的形式安全传递信息的方法。JWT 可以使用 HMAC 算法或者
angular设置referer_Angular.js 无法设置Authorization头,该怎么解决?
weixin_39677538的博客
12-18 469
使用jwt方式去验证,在拦截器中添加Authorization,始终无法添加,请问下问题在哪?拦截器代码如下request : function(config){config.withCredentials = true;//演示tokenvar token = 'eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJodHRwczovL3NhbXBsZX...
JWT的使用
陆沉的博客
01-28 9779
概述 JSON Web Token(JWT)是一种开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间作为JSON对象安全地传输信息。此信息可以验证和信任,因为它是经过数字签名的。JWT可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。 虽然 JWT 可以加密以在各方之间提供保密性,但我们将专注于签名令牌。签名的令牌可以验证其中包含的声明的完整性,而加密的令牌会向其他方隐藏这些声明。当使用公钥/私钥对对令牌进行签名时,签名还证明只有持有私钥的一方才是签
jwt解密
fighting_xuan的博客
11-02 4247
String token = "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJoYXNfbW9iaWxlIjp0cnVlLCJ2YWxpZF9tb2JpbGUiOmZhbHNlLCJjb2RlIjowLCJjaXR5IjpudWxsLCJyZWFsX25hbWUiOm51bGwsImFjY291bnRfbmFtZSI6IkUwMDAwODgwMjUiLCJuaWNrbmFtZSI6IkUwMDAwODgwMjUiLCJjb21wYW55IjpudWxsLCJvcmdfbmF
使用Token进行身份验证
m0_57037182的博客
06-10 1万+
token,简简单单帮你上手实现
ctfhub 技能树 JSON Web Token 修改签名算法
devil8123665的博客
01-23 6695
1、题目提示:有些JWT库支持多种密码算法进行签名、验签。若目标使用非对称密码算法时,有时攻击者可以获取到公钥,此时可通过修改JWT头部的签名算法,将非对称密码算法改为对称密码算法,从而达到攻击者目的。 2、打开题目看到题目给的源码,源码如下, <?php require __DIR__ . '/vendor/autoload.php'; use \Firebase\JWT\JWT; ​ class JWTHelper { public static function encode($pay
接收Request请求Bearer令牌参数
PHPer技术栈
06-06 4828
接收Request请求Bearer令牌参数
Java Web基础知识(三)——HTTP协议
m0_60845963的博客
07-06 1221
Java Web基础知识(三)——HTTP协议
ThinkPHP5开发中API数据安全相关解决方案
坚持硬核
07-07 1392
0x00 四种API数据安全问题 接口请求地址 和 参数暴露 重要接口返回数据明文暴露 APP登录态请求的数据安全性问题 代码层的数据安全问题 其中前三种问题,都可以使用加密来解决。 0x01 加密方式 MD5 AES 对称加密算法,加密速度快,资源使用率高 RSA 非对称加密算法,加密效率低,数据量大的时候加密时间比较长 0x02 如何进行加密? 将基础参数(app版本号,手机型号,sign等)放入http协议的header头中 每次http请求都携带sign 保证sign的唯一性
php Jwt接口安全示例
02-06
PHP JWT 接口安全示例: 1. 首先需要安装 JWT 扩展包,如果使用 composer 可以在命令行中输入 "composer require firebase/php-jwt" 来安装。 2. 生成 JWT 令牌: ``` <?php require_once "vendor/autoload.php"; ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值