亚洲乱码中文字幕综合,中国熟女仑乱hd,亚洲精品乱拍国产一区二区三区,一本大道卡一卡二卡三乱码全集资源,又粗又黄又硬又爽的免费视频

PHP實(shí)現(xiàn)JWT的Token登錄認(rèn)證

 更新時(shí)間:2021年12月01日 17:23:48   作者:我卻醉的像條狗  
這篇文章通過(guò)實(shí)例代碼介紹了PHP實(shí)現(xiàn)JWT的Token登錄認(rèn)證的方式,對(duì)大家的學(xué)習(xí)或工作具有一定的參考借鑒價(jià)值,需要的朋友可以參考下

1、JWT簡(jiǎn)介

JSON Web Token(縮寫 JWT),是目前最流行的跨域認(rèn)證解決方案。

session登錄認(rèn)證方案:用戶從客戶端傳遞用戶名、密碼等信息,服務(wù)端認(rèn)證后將信息存儲(chǔ)在session中,將session_id放到cookie中。

以后訪問(wèn)其他頁(yè)面,自動(dòng)從cookie中取到session_id,再?gòu)膕ession中取認(rèn)證信息。

另一類解決方案,將認(rèn)證信息,返回給客戶端,存儲(chǔ)到客戶端。下次訪問(wèn)其他頁(yè)面,需要從客戶端傳遞認(rèn)證信息回服務(wù)端。

JWT就是這類方案的代表,將認(rèn)證信息保存在客戶端。

2、JWT 的原理

JWT 的原理是,服務(wù)器認(rèn)證以后,生成一個(gè) JSON格式的 對(duì)象,發(fā)回給客戶端,就像下面這樣。

{
"用戶名": "admin",
"角色": "超級(jí)管理員",
"到期時(shí)間": "2019-07-13 00:00:00"
}

以后,客戶端與服務(wù)端通信的時(shí)候,都要發(fā)回這個(gè) JSON 對(duì)象。服務(wù)器完全只靠這個(gè)對(duì)象認(rèn)定用戶身份。

為了防止用戶篡改數(shù)據(jù),服務(wù)器在生成這個(gè)對(duì)象的時(shí)候,會(huì)加上簽名(詳見后文)。

服務(wù)器不再保存任何 session 數(shù)據(jù),也就是服務(wù)器變成無(wú)狀態(tài)了,從而比較容易實(shí)現(xiàn)擴(kuò)展。

3、JWT 的使用方式

客戶端收到服務(wù)器返回的 JWT,可以儲(chǔ)存在 Cookie 里面,也可以儲(chǔ)存在 localStorage。

此后,客戶端每次與服務(wù)器通信,都要帶上這個(gè) JWT。你可以把它放在 Cookie 里面自動(dòng)發(fā)送,但是這樣不能跨域,所以更好的做法是放在 HTTP 請(qǐng)求的頭信息Authorization字段里面。

Authorization: Bearer <token>

另一種做法是,跨域的時(shí)候,JWT 就放在 POST 請(qǐng)求的數(shù)據(jù)體里面。

4、JWT 的幾個(gè)特點(diǎn)

  • (1)JWT 默認(rèn)是不加密,但也是可以加密的。生成原始 Token 以后,可以用密鑰再加密一次。
  • (2)JWT 不加密的情況下,不能將秘密數(shù)據(jù)寫入 JWT。
  • (3)JWT 不僅可以用于認(rèn)證,也可以用于交換信息。有效使用 JWT,可以降低服務(wù)器查詢數(shù)據(jù)庫(kù)的次數(shù)。
  • (4)JWT 的最大缺點(diǎn)是,由于服務(wù)器不保存 session 狀態(tài),因此無(wú)法在使用過(guò)程中廢止某個(gè) token,或者更改 token 的權(quán)限。也就是說(shuō),一旦 JWT 簽發(fā)了,在到期之前就會(huì)始終有效,除非服務(wù)器部署額外的邏輯。
  • (5)JWT 本身包含了認(rèn)證信息,一旦泄露,任何人都可以獲得該令牌的所有權(quán)限。為了減少盜用,JWT 的有效期應(yīng)該設(shè)置得比較短。對(duì)于一些比較重要的權(quán)限,使用時(shí)應(yīng)該再次對(duì)用戶進(jìn)行認(rèn)證。
  • (6)為了減少盜用,JWT 不應(yīng)該使用 HTTP 協(xié)議明碼傳輸,要使用 HTTPS 協(xié)議傳輸。

5、功能實(shí)現(xiàn)

JWT功能組件

使用composer安裝 JWT 功能組件

composer require lcobucci/jwt 3.3

封裝JWT工具類 (參考 https://github.com/lcobucci/jwt/tree/3.3)

extend/tools/jwt/Token.php

<?php
namespace tools\jwt;

use Lcobucci\JWT\Builder;
use Lcobucci\JWT\Parser;
use Lcobucci\JWT\Signer\Hmac\Sha256;
use Lcobucci\JWT\ValidationData;

/**
 * Created by PhpStorm.
 * User: asus
 * Date: 2019/4/5
 * Time: 13:02
 */
class Token
{
    private static $_config = [
        'audience' => 'http://www.pyg.com',//接收人
        'id' => '3f2g57a92aa',//token的唯一標(biāo)識(shí),這里只是一個(gè)簡(jiǎn)單示例
        'sign' => 'pinyougou',//簽名密鑰
        'issuer' => 'http://adminapi.pyg.com',//簽發(fā)人
        'expire' => 3600*24 //有效期
    ];

    //生成token
    public static function getToken($user_id){

        //簽名對(duì)象
        $signer = new Sha256();
        //獲取當(dāng)前時(shí)間戳
        $time = time();
        //設(shè)置簽發(fā)人、接收人、唯一標(biāo)識(shí)、簽發(fā)時(shí)間、立即生效、過(guò)期時(shí)間、用戶id、簽名
        $token = (new Builder())->issuedBy(self::$_config['issuer'])
            ->canOnlyBeUsedBy(self::$_config['audience'])
            ->identifiedBy(self::$_config['id'], true)
            ->issuedAt($time)
            ->canOnlyBeUsedAfter($time-1)
            ->expiresAt($time + self::$_config['expire'])
            ->with('user_id', $user_id)
            ->sign($signer, self::$_config['sign'])
            ->getToken();
        return (string)$token;
    }

    //從請(qǐng)求信息中獲取token令牌
    public static function getRequestToken()
    {
        if (empty($_SERVER['HTTP_AUTHORIZATION'])) {
            return false;
        }

        $header = $_SERVER['HTTP_AUTHORIZATION'];
        $method = 'bearer';
        //去除token中可能存在的bearer標(biāo)識(shí)
        return trim(str_ireplace($method, '', $header));
    }

    //從token中獲取用戶id (包含token的校驗(yàn))
    public static function getUserId($token = null)
    {
        $user_id = null;

        $token = empty($token)?self::getRequestToken():$token;

        if (!empty($token)) {
            //為了注銷token 加以下if判斷代碼
            $delete_token = cache('delete_token') ?: [];
            if(in_array($token, $delete_token)){
                //token已被刪除(注銷)
                return $user_id;
            }
            $token = (new Parser())->parse((string) $token);
            //驗(yàn)證token
            $data = new ValidationData();
            $data->setIssuer(self::$_config['issuer']);//驗(yàn)證的簽發(fā)人
            $data->setAudience(self::$_config['audience']);//驗(yàn)證的接收人
            $data->setId(self::$_config['id']);//驗(yàn)證token標(biāo)識(shí)

            if (!$token->validate($data)) {
                //token驗(yàn)證失敗
                return $user_id;
            }

            //驗(yàn)證簽名
            $signer = new Sha256();
            if (!$token->verify($signer, self::$_config['sign'])) {
                //簽名驗(yàn)證失敗
                return $user_id;
            }
            //從token中獲取用戶id
            $user_id = $token->getClaim('user_id');
        }

        return $user_id;
    }
}

修改public/.htaccess文件,通過(guò)apache重寫,處理HTTP請(qǐng)求中的Authorization字段

(不處理,php中接收不到HTTP_AUTHORAZATION字段信息)

RewriteCond %{HTTP:Authorization} ^(.+)$
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]

測(cè)試: application/adminapi/controller/Index.phpindex方法

靜態(tài)調(diào)用封裝的\tools\jwt\Token類的getToken方法,傳遞一個(gè)用戶id值,生成token

靜態(tài)調(diào)用封裝的\tools\jwt\Token類的getUserId方法,傳遞一個(gè)token,獲取用戶id

訪問(wèn)結(jié)果

到此這篇關(guān)于PHP實(shí)現(xiàn)JWT的Token登錄認(rèn)證的文章就介紹到這了。希望對(duì)大家的學(xué)習(xí)有所幫助,也希望大家多多支持腳本之家。

相關(guān)文章

最新評(píng)論