摘要:基于的身份驗證可以替代傳統(tǒng)的身份驗證方法���。該所面向的用戶非必須����。�。你也可以簡單的使用,比如簡單的方式�。經(jīng)過和就可得到組成部分將和使用中指定的加密算法加密,當(dāng)然加密過程還需要自定秘鑰����,自己選一個字符串就可以了。
解釋一下JWT
JWT就是一個字符串���,經(jīng)過加密處理與校驗處理的字符串����,由三個部分組成?����;趖oken的身份驗證可以替代傳統(tǒng)的cookie+session身份驗證方法�����。三個部分分別如下:
header.payload.signature
header部分組成
header 格式為:
{
"typ":"JWT",
"alg":"HS256"
}
這就是一個json串�,兩個字段都是必須的,alg字段指定了生成signature的算法,默認(rèn)值為 HS256,可以自己指定其他的加密算法�����,如RSA.經(jīng)過base64encode就可以得到 header.
payload 部分組成
playload 基本組成部分:
簡單點(diǎn):
$payload=[
"iss" => $issuer, //簽發(fā)者
"iat" => $_SERVER["REQUEST_TIME"], //什么時候簽發(fā)的
"exp" => $_SERVER["REQUEST_TIME"] + 7200 //過期時間
"uid"=>1111
];
復(fù)雜點(diǎn):官方說法,三個部分組成(Reserved claims���,Public claims,Private claims)
$token = [
#非必須��。issuer 請求實體����,可以是發(fā)起請求的用戶的信息,也可是jwt的簽發(fā)者���。
"iss" => "http://example.org",
#非必須。issued at��。 token創(chuàng)建時間����,unix時間戳格式
"iat" => $_SERVER["REQUEST_TIME"],
#非必須。expire 指定token的生命周期�。unix時間戳格式
"exp" => $_SERVER["REQUEST_TIME"] + 7200,
#非必須。接收該JWT的一方����。
"aud" => "http://example.com",
#非必須。該JWT所面向的用戶
"sub" => "jrocket@example.com",
# 非必須��。not before�����。如果當(dāng)前時間在nbf里的時間之前���,則Token不被接受���;一般都會留一些余地�,比如幾分鐘��。
"nbf" => 1357000000,
# 非必須���。JWT ID�。針對當(dāng)前token的唯一標(biāo)識
"jti" => "222we",
# 自定義字段
"GivenName" => "Jonny",
# 自定義字段
"name" => "Rocket",
# 自定義字段
"Email" => "jrocket@example.com",
];
payload 也是一個json數(shù)據(jù)��,是表明用戶身份的數(shù)據(jù)��,可以自己自定義字段���,很靈活�。你也可以簡單的使用���,比如簡單的方式���。經(jīng)過json_encode和base64_encode就可得到payload
signature組成部分
將 header和 payload使用header中指定的加密算法加密,當(dāng)然加密過程還需要自定秘鑰����,自己選一個字符串就可以了����。
官網(wǎng)實例:
HMACSHA256(
base64UrlEncode(header) + "." +
base64UrlEncode(payload),
secret)
自己使用:
"JWT", "alg" => $alg])) . "." . self::urlsafeB64Encode(json_encode($payload));
return $jwt . "." . self::signature($jwt, $key, $alg);
}
public static function signature(string $input, string $key, string $alg)
{
return hash_hmac($alg, $input, $key);
}
這三個部分使用.連接起來就是高大上的JWT,然后就可以使用了.
JWT使用流程
官方使用流程說明:
翻譯一下:
初次登錄:用戶初次登錄�,輸入用戶名密碼
密碼驗證:服務(wù)器從數(shù)據(jù)庫取出用戶名和密碼進(jìn)行驗證
生成JWT:服務(wù)器端驗證通過,根據(jù)從數(shù)據(jù)庫返回的信息����,以及預(yù)設(shè)規(guī)則����,生成JWT
返還JWT:服務(wù)器的HTTP RESPONSE中將JWT返還
帶JWT的請求:以后客戶端發(fā)起請求,HTTP REQUEST HEADER中的Authorizatio字段都要有值��,為JWT
JWT 驗證過程
因為自己寫的��,沒有使用框架�����,所以還是得簡單記錄一下驗證過程
客戶端在請求頭中帶有JWT信息�����,后端獲取$_SERVER[HTTP_AUTHORIZATION]:
不過注意一點(diǎn)��,我這個Authorization沒有加Bearer,官方使用中就使用了Bearer,你也可以自己使用:
Authorization: Bearer
php 驗證偽代碼:
$time)
return false;
if (isset($payload["exp"]) && $payload["exp"] < $time)
return false;
return $payload;
}
public static function urlsafeB64Decode(string $input)
{
$remainder = strlen($input) % 4;
if ($remainder)
{
$padlen = 4 - $remainder;
$input .= str_repeat("=", $padlen);
}
return base64_decode(strtr($input, "-_", "+/"));
}
public static function urlsafeB64Encode(string $input)
{
return str_replace("=", "", strtr(base64_encode($input), "+/", "-_"));
}
參考文章:
https://jwt.io/introduction/
http://www.cnblogs.com/zjutzz...
文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為���,您可以聯(lián)系管理員刪除���。
轉(zhuǎn)載請注明本文地址:http://www.ezyhdfw.cn/yun/23152.html
