1.JWT简介
JSON Web Token(JWT),是目前最流行的跨域认证解决方案。
①session登录认证方案:
用户从客户端传递用户名、密码等信息,服务端认证后将信息存储在session中,将session_id放到cookie中。以后访问其他页面,自动从cookie中取到session_id,再从session中获取认证信息。
②JWT登录认证方案:
将认证信息返回客户端,存储到客户端,下次访问其他页面,需要从客户端传递认证信息回服务端。将认证信息保存在客户端。
2.JWT的原理
原理:服务器认证后,生成一个JSON格式的对象,发回给客户端。
以后,客户端与服务端通信的时候,都要发回这个JSON对象。服务器完全只靠这个对象认定用户身份。
为了防止用户篡改数据,服务器在生成这个对象的时候,会加上签名。服务器不再保存任何session数据,也就是说服务器变成无状态了,从而比较容易实现扩展。
3.JWT的数据结构
实际的JWT是一个很长的字符串,中间用(.)分隔成三个部分。例如:
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiIsImp0aSI6IjNmMmc1N2E5MmFhIn0.eyJpYXQiOjE1NjI4MzM0MDgsImlzcyI6Imh0dHA6XC9cL3d3dy5weWcuY29tIiwiYXVkIjoiaHR0cDpcL1wvd3d3LnB5Zy5jb20iLCJuYmYiOjE1NjI4MzM0MDcsImV4cCI6MTU2MjkxOTgwOCwianRpIjoiM2YyZzU3YTkyYWEiLCJ1c2VyX2lkIjoxfQ.NFq1qQ-Z5c4pwit8ZkyWEwX6SBXmnHJcc6ZDgSD5nhU
JWT的三个部分依次为:
Header(头部)、Payload(负载)、Signature(签名)
也就是: Header.Payload.Signature
①Header部分是一个JSON对象,描述JWT的元数据。
alg属性表示签名的算法(algorithm),默认是HMAC SHA256(写成HS256);typ属性表示这个令牌(token)的类型(type),JWT令牌统一写为JWT。
最后,将上面的JSON对象使用Base64URL算法转换成字符串。
②Payload部分也是一个JSON对象,用来存放实际需要传递的数据。JWT规定了7个官方字段。
除了官方字段,还可以定义私有字段,例如:
注意!!!JWT默认不加密,任何人都可读到,所以不要把秘密信息放在这个部分。这个JSON对象也要使用Base64URL算法转成字符串。
③Signature部分是对前两部分的签名,防止数据篡改。
首先需要指定一个密钥(secret)。这个密钥只有服务器知道,不能泄露给用户,然后使用header里指定的签名算法(默认是HMAC SHA256),按照下面的公式产生签名。
算出签名以后,把Header、Payload、Signature三个部分拼成一个字符串,每个部分之间用(.)分隔,就可以返回给用户。
④Base64URL
Header和Payload串行化的算法是Base64URL。这个算法跟Base64算法基本类似,但有些不同。
JWT作为一个令牌(token),有些场合可能会放到URL。(比如 api.example.com/?token=xxx)。Base64算法中有三个字符+、/和=,在URL里面有特殊含义,所以要被替换掉:=被省略,+替换成-,/替换成_。
4.JWT的使用方式
客户端收到服务器返回的JWT,可以存储在cookie中,也可以存储在localStorage。此后,客户端每次与服务器通信都要带上这个JWT。可以放在cookie中自动发送,但这样不能跨域,所以
做法①:放在HTTP请求的头信息Authorization字段里面。
做法②:跨域时,JWT放在POST请求的数据体里。
5.JWT的特点
①JWT默认不加密,但也可以加密。生成原始token后,可以用密钥加密一次。
②JWT不加密的情况下,不能将秘密数据写入JWT。
③JWT不仅可以用于认证,也可以用于交换信息。有效使用JWT,可以降低服务器查询数据库的次数。
④JWT的最大缺点是:由于服务器不保存session状态,因此无法在使用过程中废止某个token,或者更改token的权限。也就是说,一旦JWT签发了,在到期之前就会始终有效,除非服务器部署额外的逻辑。
⑤JWT本身包含了认证信息,一旦泄露,任何人都可以获得该令牌的所有权限。为了减少盗用,JWT的有效期应该设置的比较短。对于一些比较重要的权限,使用时应该再次对用户进行确认。
⑥为了减少盗用,JWT不应该使用HTTP协议明码传输,要使用HTTPS协议传输。
6.功能实现
方法一:
①使用composer安装JWT功能组件
composer require lcobucci/jwt 3.3
②封装JWT工具类(参考 https://github.com/lcobucci/jwt/tree/3.3)
extend/tools/jwt/Token.php
<?php
namespace tools\jwt;
use Lcobucci\JWT\Builder;
use Lcobucci\JWT\Parser;
use Lcobucci\JWT\Signer\Hmac\Sha256;
use Lcobucci\JWT\ValidationData;
/**
* Created by PhpStorm.
* User: asus
* Date: 2019/4/5
* Time: 13:02
*/
class Token
{
private static $_config = [
'audience' => 'http://www.pyg.com',//接收人
'id' => '3f2g57a92aa',//token的唯一标识,这里只是一个简单示例
'sign' => 'pinyougou',//签名密钥
'issuer' => 'http://adminapi.pyg.com',//签发人
'expire' => 3600*24 //有效期
];
//生成token
public static function getToken($user_id){
//签名对象
$signer = new Sha256();
//获取当前时间戳
$time = time();
//设置签发人、接收人、唯一标识、签发时间、立即生效、过期时间、用户id、签名
$token = (new Builder())->issuedBy(self::$_config['issuer'])
->canOnlyBeUsedBy(self::$_config['audience'])
->identifiedBy(self::$_config['id'], true)
->issuedAt($time)
->canOnlyBeUsedAfter($time-1)
->expiresAt($time + self::$_config['expire'])
->with('user_id', $user_id)
->sign($signer, self::$_config['sign'])
->getToken();
return (string)$token;
}
//从请求信息中获取token令牌
public static function getRequestToken()
{
if (empty($_SERVER['HTTP_AUTHORIZATION'])) {
return false;
}
$header = $_SERVER['HTTP_AUTHORIZATION'];
$method = 'bearer';
//去除token中可能存在的bearer标识
return trim(str_ireplace($method, '', $header));
}
//从token中获取用户id (包含token的校验)
public static function getUserId($token = null)
{
$user_id = null;
$token = empty($token)?self::getRequestToken():$token;
if (!empty($token)) {
//为了注销token 加以下if判断代码
$delete_token = cache('delete_token') ?: [];
if(in_array($token, $delete_token)){
//token已被删除(注销)
return $user_id;
}
$token = (new Parser())->parse((string) $token);
//验证token
$data = new ValidationData();
$data->setIssuer(self::$_config['issuer']);//验证的签发人
$data->setAudience(self::$_config['audience']);//验证的接收人
$data->setId(self::$_config['id']);//验证token标识
if (!$token->validate($data)) {
//token验证失败
return $user_id;
}
//验证签名
$signer = new Sha256();
if (!$token->verify($signer, self::$_config['sign'])) {
//签名验证失败
return $user_id;
}
//从token中获取用户id
$user_id = $token->getClaim('user_id');
}
return $user_id;
}
}
③修改public/.htaccess文件,通过apache重写,处理HTTP请求中的Authorization字段(如果不处理,php中接收不到HTTP_AUTHORAZATION字段信息)
RewriteCond %{HTTP:Authorization} ^(.+)$
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
方法二:
第一步:安装插件
composer require firebase/php-jwt
第二步:封装生成token和解析token的方法
public static function lssue($openid,$username)
{
$key = '344'; //key
$time = time(); //当前时间
$token = [
'iss' => 'http://www.month11.com', //签发者 可选
'aud' => 'http://www.month11.com', //接收该JWT的一方,可选
'iat' => $time, //签发时间
'nbf' => $time , //(Not Before):某个时间点后才能访问,比如设置time+30,表示当前时间30秒后才能使用
'exp' => $time+7200, //过期时间,这里设置2个小时
'data' => [ //自定义信息,不要定义敏感信息
'id' => $openid,
'username' => $username
]
];
$token = JWT::encode($token, $key); //输出Token
return $token;
}
public static function verification($jwt)
{
$key = '344'; //key要和签发的时候一样
$jwt = $jwt; //签发的Token
try {
JWT::$leeway = 60;//当前时间减去60,把时间留点余地
$decoded = JWT::decode($jwt, $key, ['HS256']); //HS256方式,这里要和签发的时候对应
$arr = (array)$decoded;
print_r($arr);
} catch(\Firebase\JWT\SignatureInvalidException $e) { //签名不正确
echo $e->getMessage();
}catch(\Firebase\JWT\BeforeValidException $e) { // 签名在某个时间点之后才能用
echo $e->getMessage();
}catch(\Firebase\JWT\ExpiredException $e) { // token过期
echo $e->getMessage();
}catch(Exception $e) { //其他错误
echo $e->getMessage();
}
//Firebase定义了多个 throw new,我们可以捕获多个catch来定义问题,catch加入自己的业务,比如token过期可以用当前Token刷新一个新Token
}
第三步:验证(可以使用laravel路由中间件验证)