php实现JWT验证的方法

最新推荐文章于 2021-12-02 10:49:12 发布
最新推荐文章于 2021-12-02 10:49:12 发布
阅读量382 收藏 2
点赞数 1
分类专栏: 性能优化 功能组件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yan_dk/article/details/110151771
版权

         JWT,全称 Json web token,是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。

php实现JWT,本例使用thinkphp框架,代码如下:

在vendor包中建立Jwt.php,建立类文件

class Jwt {

    //头部
    private static $header=array(
        'alg'=>'HS256', //生成signature的算法
        'typ'=>'JWT'    //类型
    );

    //使用HMAC生成信息摘要时所使用的密钥
    private static $key='123456';


    /**
     * 获取jwt token
     * @param array $payload jwt载荷   格式如下非必须
     * [
     *  'iss'=>'jwt_admin',  //该JWT的签发者
     *  'iat'=>time(),  //签发时间
     *  'exp'=>time()+7200,  //过期时间
     *  'nbf'=>time()+60,  //该时间之前不接收处理该Token
     *  'sub'=>'www.admin.com',  //面向的用户
     *  'jti'=>md5(uniqid('JWT').time())  //该Token唯一标识
     * ]
     * @return bool|string
     */
    public static function getToken($payload)
    {
        if(is_array($payload))
        {
            $base64header=self::base64UrlEncode(json_encode(self::$header,JSON_UNESCAPED_UNICODE));
            $base64payload=self::base64UrlEncode(json_encode($payload,JSON_UNESCAPED_UNICODE));
            $token=$base64header.'.'.$base64payload.'.'.self::signature($base64header.'.'.$base64payload,self::$key,self::$header['alg']);
            return $token;
        }else{
            return false;
        }
    }


    /**
     * 验证token是否有效,默认验证exp,nbf,iat时间
     * @param string $Token 需要验证的token
     * @return bool|string
     */
    public static function verifyToken($Token)
    {
        $tokens = explode('.', $Token);
        if (count($tokens) != 3)
            return false;

        list($base64header, $base64payload, $sign) = $tokens;

        //获取jwt算法
        $base64decodeheader = json_decode(self::base64UrlDecode($base64header), JSON_OBJECT_AS_ARRAY);
        if (empty($base64decodeheader['alg']))
            return false;

        //签名验证
        if (self::signature($base64header . '.' . $base64payload, self::$key, $base64decodeheader['alg']) !== $sign)
            return false;

        $payload = json_decode(self::base64UrlDecode($base64payload), JSON_OBJECT_AS_ARRAY);

        //签发时间大于当前服务器时间验证失败
        if (isset($payload['iat']) && $payload['iat'] > time())
            return false;

        //过期时间小宇当前服务器时间验证失败
        if (isset($payload['exp']) && $payload['exp'] < time())
            return false;

        //该nbf时间之前不接收处理该Token
        if (isset($payload['nbf']) && $payload['nbf'] > time())
            return false;

        return $payload;
    }




    /**
     * base64UrlEncode   https://jwt.io/  中base64UrlEncode编码实现
     * @param string $input 需要编码的字符串
     * @return string
     */
    private static function base64UrlEncode($input)
    {
        return str_replace('=', '', strtr(base64_encode($input), '+/', '-_'));
    }

    /**
     * base64UrlEncode  https://jwt.io/  中base64UrlEncode解码实现
     * @param string $input 需要解码的字符串
     * @return bool|string
     */
    private static function base64UrlDecode($input)
    {
        $remainder = strlen($input) % 4;
        if ($remainder) {
            $addlen = 4 - $remainder;
            $input .= str_repeat('=', $addlen);
        }
        return base64_decode(strtr($input, '-_', '+/'));
    }

    /**
     * HMACSHA256签名   https://jwt.io/  中HMACSHA256签名实现
     * @param string $input 为base64UrlEncode(header).".".base64UrlEncode(payload)
     * @param string $key
     * @param string $alg   算法方式
     * @return mixed
     */
    private static function signature($input, $key, $alg = 'HS256')
    {
        $alg_config=array(
            'HS256'=>'sha256'
        );
        return self::base64UrlEncode(hash_hmac($alg_config[$alg], $input, $key,true));
    }
}

调用JWT验证的方法,代码如下:

1.构建token方法

public function makeToken(){
	  $uname=$this->uname;	$currtime=time();
	  if(empty($this->uname)){ echo json_encode(array('code'=>-1,'msg'=>'[主账号]参数为空'),JSON_UNESCAPED_UNICODE);	exit(); }	
	  ....
	  //jwt验证
	  vendor("Jwt.Jwt");
	  $jwt = new \Jwt();
//这里构造jwt参数,可以参照jwt规范,各字段可以自行定义内容	  $payload=array('iss'=>'xesport','sub'=>'xxx_player','name'=>$playerName,'iat'=>$currtime,'jti'=>md5(uniqid('JWT').$currtime));
	  $token=$jwt->getToken($payload);   $this->token=$token;
	  $url='http://xxx?token='.$token;
	  $data=array('url'=>$url);
	  
	  echo json_encode(array('code'=>1,'data'=>$data,),JSON_UNESCAPED_UNICODE);   exit();

	}

2.验证token的方法

//验证token
public function verifyToken(){
	  $token=$_REQUEST['token'];
	  if(empty($token)){ echo json_encode(array('code'=>-1,'msg'=>'[token]参数为空!'),JSON_UNESCAPED_UNICODE);	exit(); }
      vendor("Jwt.Jwt");
	  $jwt = new \Jwt();	  
	  $res_token=$jwt->verifyToken($token);
      //var_dump('res_token==',$res_token);
	  if(empty($res_token)){ echo json_encode(array('code'=>-2,'msg'=>'[token]验证失败!'),JSON_UNESCAPED_UNICODE);	exit(); }
	  $playerName=$res_token['name'];
	  //echo $playerName; die;
	 这里可以写从数据库查询验证user是否存在,返回 $userInfo 
	  if(empty($userInfo)){ echo json_encode(array('code'=>-3,'msg'=>'[token]验证用户无效!'),JSON_UNESCAPED_UNICODE);	exit(); }
	  $data=array('username'=>$playerName);
	  echo json_encode(array('code'=>1,'data'=>$data,'msg'=>'[token]验证成功'),JSON_UNESCAPED_UNICODE);	exit();
	}

这样,我们通过控制器方法调用该方法,传递参数token,就可以解析token中包含的认证凭据信息,从而做后续业务处理逻辑。

云焰
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
jwt php签名验证不通过_ThinkPHP5使用thinkAPI部署JWT
weixin_30276247的博客
12-15 604
php中文网最新课程每日17点准时技术干货分享因为下一个项目要用 TP5 开发一个小程序,所以就使用到了,TP 框架,因为小程序开发需要后台来编写 api 接口,所以就上网查了一下有没有相关的依赖,在此推荐一下 think-api 扩展工具,因为主要想使用其中的 jwt 功能来判断小程序用户的登录状态,下面就以本人的项目为例,简单和大家聊一下,通过 think-api 来部署 JWT...
php 后端实现JWT认证方法示例
12-19
基于token的身份验证可以替代传统的cookie+session身份验证方法。 它定义了一种用于简洁,自包含的用于通信双方之间以 JSON 对象的形式安全传递信息的方法JWT 可以使用 HMAC 算法或者是 RSA 的公钥密钥对进行签名...
php JWT使用
Bug制造者
07-17 387
composer 下载: composer require lcobucci/jwt 参数解释 在使用之前先解释下上面参数的意思: 名称 解释 iss (issuer) issuer 请求实体,可以是发起请求的用户的信息,也可是jwt的签发者 sub (Subject) 设置主题,类似于发邮件时的主题 aud (audience) 接收jwt的一方 exp (expire) token过期时间 nbf (not before) 当前时间在nbf设定时间之前,该t...
PHPJWT接口鉴权(一)
Abel_JiaWei的博客
04-10 4802
1.什么是JWT JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。 2.什么时候应该用到JWT Authorization (授权) : 这是使用JWT的最常见场景。一旦用户登录,后续每个请求都将包含JWT,允许用户访问该令牌允许的路由、服务和...
聊聊PHP里面JWT的使用
weixin_34197488的博客
01-09 2969
1.Token的用途 在很多计算机系统里面都少不了用户认证这一步骤,最常见的认证就是账号密码认证,也就是注册、登录这一流程。 在现实生活中,人也需要认证,大家应该都有个 身份证,回想一下这个身份证是从哪里来的呢? 办过身份证的应该都知道,一般情况下,身份证需要本人带着 户口本 去 公安局 (不知道现在改了木有?)办理,工作人员在核对了相关信息,确认无误的情况下会给你颁发一个身份证, 有效期 一般是...
jwt
weixin_44222066的博客
10-12 108
jwt 1. JWT是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 2. 为什么使用JWT JWT的精髓在于:“去中心化”,数据是保存在客户端的。 3. JWT的工作原理 3.1 是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,示例如下: {“UserName”: “Chongchong”,“Role”: “Admin”,“Expire”: ...
php验证是否是jwt,php 后端实现JWT认证方法
weixin_42350606的博客
03-10 139
JWT是什么JWT是json web token缩写。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。基于token的身份验证可以替代传统的cookie+session身份验证方法JWT由三个部分组成:header.payload.signature以下示例以JWT官网为例header部分:{"alg": "HS256...
php验证是否是jwt,php实现JWT认证的方法 JWT验证使用流程
weixin_31514087的博客
03-10 154
/*** PHP实现jwt*/class Jwt {//头部private static $header=array('alg'=>'HS256', //生成signature的算法'typ'=>'JWT' //类型);//使用HMAC生成信息摘要时所使用的密钥private static $key='123456';/*** 获取jwt token* @param array ...
PHP注册接口jwt验证,Laravel Api实现JWT Token认证
weixin_33637628的博客
03-11 474
在开发Api时,处理客户端请求之前,需要对用户进行身份认证,Laravel框架默认为我们提供了一套用户认证体系,在进行web开发时,几乎不用添加修改任何代码,可直接使用,但在进行api开发时,需要我们自己去实现,并且Laravel框架默认提供的身份认证不是jwt的,需要在数据库中增加api_token字段,记录用户认证token并进行身份校验,如果需要使用jwt,无需添加字段,需要借助三方库来实现...
php实现JWT验证的实例教程
01-21
JWT,全称 Json web token,是为了在网络应用环境间传递声明而执行的一种基于JSON...php实现JWT,本例使用thinkphp框架,代码如下: 在vendor包中建立Jwt.php,建立类文件 class Jwt { //头部 private static $head
php实现JWT(json web token)鉴权实例详解
01-03
基于token的身份验证可以替代传统的cookie+session身份验证方法JWT由三个部分组成:header.payload.signature 以下示例以JWT官网为例 header部分: { alg: HS256, typ: JWT } 对应base64UrlEncode编码为:...
SymfonyRESTAPI的JWT身份验证
08-07
此Bundle为您的Symfony API提供JWT(Json Web Token)身份验证
thinkphp框架使用JWTtoken的方法详解
01-03
本文实例讲述了thinkphp框架使用JWTtoken的方法。分享给大家供大家参考,具体如下: 简介 一:JWT介绍:全称JSON Web Token,基于JSON的开放标准((RFC 7519) ,以token的方式代替传统的Cookie-Session模式,用于各...
网页访问报错This request has been blocked; the content must be served over HTTPS.
热门推荐
yan_dk的专栏
07-01 2万+
问题:网页有时访问https网站,由于网站中一些资源是http的,网页执行会报错“This request has been blocked; the content must be served over HTTPS.”,chrome浏览器审查元素可以看到。 解决: <meta http-equiv="Content-Security-Policy" content="upgrade...
邮箱服务发送配置SMTP授权码
yan_dk的专栏
06-23 2万+
网站应用中经常会有需求,向用户发送邮件,比如用户注册,网站需要发送邮件进行注册信息的确认;或者业务中需要的通知,比如订单通知、交易通知等可以通过发送邮件来实现,这个邮件是由网站管理员配置发送的,那么如何配置这个邮件服务功能呢?下面来谈一下。 通常要指定一个邮箱作为发送邮件的邮箱,比如163邮箱、qq邮箱、gmail邮箱等都可以,他们都需要配置smtp地址,以及授权码,...
web3+区块链 入门及技术指南
yan_dk的专栏
12-02 2万+
web3.js开发环境安装 安装nodejs,参考Nodejs入门及技术指南_yan_dk的专栏 npm 安装web3 $ npm install web3 --save 检测是否安装成功 $ node >require("web3") 显示如下: 说明web3.js已经安装成功。 安装testrpc(在本地使用内存模拟的一个以太坊环境) >npm install ethereumjs-testrpc -g 安装成功后,启动testrpc 区块链节点 >test
PhpStudy常见错误及解决方法
yan_dk的专栏
06-07 1万+
常见错误及解决方法 报错“计算机丢失MSVCR100.dll,请尝试重装系统....” 解决方法phpstudy2018安装目录下有msvcr100.dll,复制到c:\Windows\System32,若64位系统,复制到c:\Windows\SysWOW64下一份,报错消失。 报错“计算机丢失oci.dll,请尝试重装系统....” 解决方法:由于启用了oracle的oci接口引...
Refused to display 'https://...' in a frame because it set 'X-Frame-Options' to 'SAMEORIGN报错
yan_dk的专栏
10-11 1万+
问题: https访问遇到如下报错 Refused to display 'https://...' in a frame because it set 'X-Frame-Options' to 'SAMEORIGN‘’ 解决方法如下: apache服务器http.conf增加如下语句: Header always set X-Frame-Options "AllowAll" ...
php实现jwt的rs256加密算法
最新发布
05-25
实现JWT的RS256加密算法需要使用PHP的openssl扩展,以下是一个简单的示例代码: ```php <?php // 生成JWT Token function generateToken($payload, $privateKey) { // JWT 头部 $header = array( "alg" => "RS...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

云焰

你的鼓励是我创作的最大动力。

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值