摘要:加密解密的過程這個包已經(jīng)幫我們完成了�。指定的生命周期�����。該所面向的用戶非必須�����。��。針對當前的唯一標識自定義字段自定義字段自定義字段里面包含的配置可以自由配置����,也可以自己添加一些其他的�����。
一直沒有好好看過jwt,直到前兩天要做web驗證�,朋友給我推薦了jwt。才發(fā)現(xiàn)jwt已經(jīng)被大家廣泛的應用了����。看來我有點out了���。哈哈����,趁著這個世界來好好看看這個�。
JWT(JSON Web Token), 顧名思義就是可以在Web上傳輸?shù)膖oken,這種token是用JSON格式進行format的���。它是一個開源標準(RFC 7519)����,定義了一個緊湊的自包含的方式在不同實體之間安全的用JSON格式傳輸信息�����。
由于現(xiàn)在很多項目都是前后端分離,restful api模式���。所以傳統(tǒng)的session模式就沒有辦法滿足認證需求�,這個時候jwt的作用就來了�����?���?梢哉f restful api認證是jwt的一個很好的應用場景。
下面是一個很小的demo
"dadsa-12312-vsd1s1-fsds",
"account"=>"daisc",
"password"=>"123456"
];
$redis = redis();
$action = $_GET["action"];
switch ($action)
{
case "login":
login();
break;
case "info":
info();
break;
}
//登陸�,寫入驗證token
function login()
{
global $user;
$account = $_GET["account"];
$pwd = $_GET["password"];
$res = [];
if($account==$user["account"]&&$pwd==$user["password"])
{
unset($user["password"]);
$time = time();
$token = [
"iss"=>"http://test.cc",//簽發(fā)者
"iat"=>$time,
"exp"=>$time+60,
"data"=>$user
];
$jwt = FirebaseJWTJWT::encode($token,KEY);
$res["code"] = 200;
$res["message"] = "登錄成功";
$res["jwt"] = $jwt;
}
else
{
$res["message"]= "用戶名或密碼錯誤";
$res["code"] = 401;
}
exit(json_encode($res));
}
function info()
{
$jwt = $_SERVER["HTTP_AUTHORIZATION"] ?? false;
$res["code"] = 200;
if($jwt)
{
$jwt = str_replace("Bearer ","",$jwt);
if(empty($jwt))
{
$res["code"] = 401;
$res["msg"] = "You do not have permission to access.";
exit(json_encode($res));
}
try{
$token = (array) FirebaseJWTJWT::decode($jwt,KEY, ["HS256"]);
if($token["exp"]connect("127.0.0.1");
return $redis;
}
這個dmeo里面用jwt做了一個簡單的認證�。 其中用到了一個php-jwt的加密包https://github.com/firebase/php-jwt
其中KEY為定義的私鑰也就是jwt里面的 sign部分,這個一定要保存好����。
而header部分php-jwt包里面已經(jīng)幫我們完成了,加密代碼如下
*/
public static function encode($payload, $key, $alg = "HS256", $keyId = null, $head = null)
{
$header = array("typ" => "JWT", "alg" => $alg);
if ($keyId !== null) {
$header["kid"] = $keyId;
}
if ( isset($head) && is_array($head) ) {
$header = array_merge($head, $header);
}
$segments = array();
$segments[] = static::urlsafeB64Encode(static::jsonEncode($header));
$segments[] = static::urlsafeB64Encode(static::jsonEncode($payload));
$signing_input = implode(".", $segments);
$signature = static::sign($signing_input, $key, $alg);
$segments[] = static::urlsafeB64Encode($signature);
return implode(".", $segments);
}
可以看出默認的加密的方式是HS256��。這也是說jwt安全的原因?�,F(xiàn)階段HS256加密還是很安全的���。
這個包里面也支持證書加密���。
加密解密的過程這個包已經(jīng)幫我們完成了。所以我們只需要定義jwt中的 poyload部分就可以了��。也就是demo里面的token部分�。加密成功會得到一個加密的Jwt字符串,下次前端在請求api的時候需要攜帶這個jwt字符串作為認證���。
在header頭里面增加Authorization�。在服務端驗證的時候回通過取得這個值來驗證回話的有效�。
下面是poyload的一些常用配置
$token = [
#非必須。issuer 請求實體�,可以是發(fā)起請求的用戶的信息,也可是jwt的簽發(fā)者����。
"iss" => "http://example.org",
#非必須。issued at����。 token創(chuàng)建時間�,unix時間戳格式
"iat" => $_SERVER["REQUEST_TIME"],
#非必須�����。expire 指定token的生命周期�。unix時間戳格式
"exp" => $_SERVER["REQUEST_TIME"] + 7200,
#非必須。接收該JWT的一方��。
"aud" => "http://example.com",
#非必須��。該JWT所面向的用戶
"sub" => "jrocket@example.com",
# 非必須�����。not before�。如果當前時間在nbf里的時間之前,則Token不被接受�����;一般都會留一些余地����,比如幾分鐘���。
"nbf" => 1357000000,
# 非必須。JWT ID����。針對當前token的唯一標識
"jti" => "222we",
# 自定義字段
"GivenName" => "Jonny",
# 自定義字段
"name" => "Rocket",
# 自定義字段
"Email" => "jrocket@example.com",
];
里面包含的配置可以自由配置����,也可以自己添加一些其他的。這些都是網(wǎng)上大家常用的�����,可以說是一種約定吧����。
對于jwt還有很多有疑問的地方,下來在慢慢研究�����,比如續(xù)期以及退出的問題
查看原文
文章版權(quán)歸作者所有�,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除����。
轉(zhuǎn)載請注明本文地址:http://www.ezyhdfw.cn/yun/29492.html
