JWT认证

Author：友儿
发布时间：August 10, 2020
8843 views
No comments
6275 words
Categories： PHP

什么是JSON Web Token？

JSON Web Token（JWT）是一个开放标准（RFC 7519），它定义了一种紧凑且自包含的方式，用于在各方之间以JSON方式安全地传输信息。由于此信息是经过数字签名的，因此可以被验证和信任。可以使用秘密（使用HMAC算法）或使用RSA或ECDSA的公钥/私钥对对JWT进行签名。

直白的讲jwt就是一种用户认证（区别于session、cookie）的解决方案。

出现的背景

众所周知，在jwt出现之前，我们已经有session、cookie来解决用户登录等认证问题，为什么还要jwt呢？

这里我们先了解一下session，cookie。

session

熟悉session运行机制的同学都知道，用户的session数据以file或缓存（redis、memcached）等方式存储在服务器端，客户端浏览器cookie中只保存sessionid。服务器端session属于集中存储，数量不大的情况下，没什么问题，当用户数据逐渐增多到一程度，就会给服务端管理和维护带来大的负担。

session有两个弊端：

1、无法实现跨域。

2、由于session数据属于集中管理里，量大的时候服务器性能是个问题。

优点：

1、session存在服务端，数据相对比较安全。

2、session集中管理也有好处，就是用户登录、注销服务端可控。

cookie也是一种解决网站用户认证的实现方式，用户登录时，服务器会发送包含登录凭据的Cookie到用户浏览器客户端，浏览器会将Cookie的key/value保存用户本地（内存或硬盘），用户再访问网站，浏览器会发送cookie信息到服务器端，服务器端接收cookie并解析来维护用户的登录状态。

cookie避免session集中管理的问题，但也存在弊端：

1、跨域问题。

2、数据存储在浏览器端，数据容易被窃取及被csrf攻击，安全性差。

优点：

1、相对于session简单，不用服务端维护用户认证信息。

2、数据持久性。

jwt

jwt通过json传输，php、java、golang等很多语言支持，通用性比较好，不存在跨域问题。传输数据通过数据签名相对比较安全。客户端与服务端通过jwt交互，服务端通过解密token信息，来实现用户认证。不需要服务端集中维护token信息，便于扩展。当然jwt也有其缺点。

缺点：

1、用户无法主动登出，只要token在有效期内就有效。这里可以考虑redis设置同token有效期一直的黑名单解决此问题。

2、token过了有效期，无法续签问题。可以考虑通过判断旧的token什么时候到期，过期的时候刷新token续签接口产生新token代替旧token。

jwt设置有效期

可以设置有效期，加入有效期是为了增加安全性，即token被黑客截获，也只能攻击较短时间。设置有效期就会面临token续签问题，解决方案如下

通常服务端设置两个token

Access Token：添加到 HTTP 请求的 header 中，进行用户认证，请求接口资源。

refresh token：用于当 Access Token过期后，客户端传递refresh token刷新 Access Token续期接口，获取新的Access Token和refresh token。其有效期比 Access Token有效期长。

jwt构成：

Header：TOKEN 的类型，就是JWT，签名的算法，如 HMAC SHA256、HS384

Payload：载荷又称为Claim，携带的信息，比如用户名、过期时间等，一般叫做 Claim

Signature：签名，是由header、payload 和你自己维护的一个 secret 经过加密得来的

jwt使用

初次登录：用户初次登录，输入用户名密码

密码验证：服务器从数据库取出用户名和密码进行验证

生成JWT：服务器端验证通过，根据从数据库返回的信息，以及预设规则，生成JWT

返还JWT：服务器的HTTP RESPONSE中将JWT返还

带JWT的请求：以后客户端发起请求，HTTP REQUEST

HEADER中的Authorizatio字段都要有值，为JWT

服务器验证JWT

代码实现

class Jwt {

    //头部
    private static $header=array(
        'alg'=>'HS256', //生成signature的算法
        'typ'=>'JWT'    //类型
    );

    //使用HMAC生成信息摘要时所使用的密钥
    private static $key='123456';


    /**
     * 获取jwt token
     * @param array $payload jwt载荷   格式如下非必须
     * [
     *  'iss'=>'jwt_admin',  //该JWT的签发者
     *  'iat'=>time(),  //签发时间
     *  'exp'=>time()+7200,  //过期时间
     *  'nbf'=>time()+60,  //该时间之前不接收处理该Token
     *  'sub'=>'www.admin.com',  //面向的用户
     *  'jti'=>md5(uniqid('JWT').time())  //该Token唯一标识
     * ]
     * @return bool|string
     */
    public static function getToken(array $payload)
    {
        if(is_array($payload))
        {
            $base64header=self::base64UrlEncode(json_encode(self::$header,JSON_UNESCAPED_UNICODE));
            $base64payload=self::base64UrlEncode(json_encode($payload,JSON_UNESCAPED_UNICODE));
            $token=$base64header.'.'.$base64payload.'.'.self::signature($base64header.'.'.$base64payload,self::$key,self::$header['alg']);
            return $token;
        }else{
            return false;
        }
    }


    /**
     * 验证token是否有效,默认验证exp,nbf,iat时间
     * @param string $Token 需要验证的token
     * @return bool|string
     */
    public static function verifyToken(string $Token)
    {
        $tokens = explode('.', $Token);
        if (count($tokens) != 3)
            return false;

        list($base64header, $base64payload, $sign) = $tokens;

        //获取jwt算法
        $base64decodeheader = json_decode(self::base64UrlDecode($base64header), JSON_OBJECT_AS_ARRAY);
        if (empty($base64decodeheader['alg']))
            return false;

        //签名验证
        if (self::signature($base64header . '.' . $base64payload, self::$key, $base64decodeheader['alg']) !== $sign)
            return false;

        $payload = json_decode(self::base64UrlDecode($base64payload), JSON_OBJECT_AS_ARRAY);

        //签发时间大于当前服务器时间验证失败
        if (isset($payload['iat']) && $payload['iat'] > time())
            return false;

        //过期时间小宇当前服务器时间验证失败
        if (isset($payload['exp']) && $payload['exp'] < time())
            return false;

        //该nbf时间之前不接收处理该Token
        if (isset($payload['nbf']) && $payload['nbf'] > time())
            return false;

        return $payload;
    }




    /**
     * base64UrlEncode   https://jwt.io/  中base64UrlEncode编码实现
     * @param string $input 需要编码的字符串
     * @return string
     */
    private static function base64UrlEncode(string $input)
    {
        return str_replace('=', '', strtr(base64_encode($input), '+/', '-_'));
    }

    /**
     * base64UrlEncode  https://jwt.io/  中base64UrlEncode解码实现
     * @param string $input 需要解码的字符串
     * @return bool|string
     */
    private static function base64UrlDecode(string $input)
    {
        $remainder = strlen($input) % 4;
        if ($remainder) {
            $addlen = 4 - $remainder;
            $input .= str_repeat('=', $addlen);
        }
        return base64_decode(strtr($input, '-_', '+/'));
    }

    /**
     * HMACSHA256签名   https://jwt.io/  中HMACSHA256签名实现
     * @param string $input 为base64UrlEncode(header).".".base64UrlEncode(payload)
     * @param string $key
     * @param string $alg   算法方式
     * @return mixed
     */
    private static function signature(string $input, string $key, string $alg = 'HS256')
    {
        $alg_config=array(
            'HS256'=>'sha256'
        );
        return self::base64UrlEncode(hash_hmac($alg_config[$alg], $input, $key,true));
    }
}

    //测试和官网是否匹配begin
    $payload=array('sub'=>'1234567890','name'=>'John Doe','iat'=>1516239022);
    $jwt=new Jwt;
    $token=$jwt->getToken($payload);
    echo "<pre>";
    echo $token;

    //对token进行验证签名
    $getPayload=$jwt->verifyToken($token);
    echo "<br><br>";
    var_dump($getPayload);
    echo "<br><br>";
    //测试和官网是否匹配end


    //自己使用测试begin
    $payload_test=array('iss'=>'admin','iat'=>time(),'exp'=>time()+7200,'nbf'=>time(),'sub'=>'www.admin.com','jti'=>md5(uniqid('JWT').time()));;
    $token_test=Jwt::getToken($payload_test);
    echo "<pre>";
    echo $token_test;

    //对token进行验证签名
    $getPayload_test=Jwt::verifyToken($token_test);
    echo "<br><br>";
    var_dump($getPayload_test);
    echo "<br><br>";
    //自己使用时候end

Last modification：September 19, 2020

如果觉得我的文章对你有用，请随意赞赏

JWT认证

友儿 • 2020 年 08 月 10 日

什么是JSON Web Token？JSON Web Token（JWT）是一个开放标准（RFC 7519），它定义了一种紧凑且自包含的方式，用于在各方之间以JSON方式安全地传输信息。由于此信息是经过数字签名的，因此可以被验证和信任。可以使用秘密（使用HMAC算法）或使用RSA或ECDSA的公钥/私钥对对JWT进行签名。直白的讲jwt就是一种用户认证（区别于session、cookie）的解决方案。出现的背景众所周知，在jwt出现之前，我们已经有session、cookie来解决用户登录等认证问题，为什么还要jwt呢？这里我们先了解一下session，cookie。session熟悉session运行机制的同学都知道，用户的session数据以file或缓存（redis、memcached）等方式存储在服务器端，客户端浏览器cookie中只保存sessionid。服务器端session属于集中存储，数量不大的情况下，没什么问题，当用户数据逐渐增多到一程度，就会给服务端管理和维护带来大的负担。session有两个弊端：1、无法实现跨域。2、由于session数据属于集中管理里，量大的时候服务器性能是个问题。优点：1、session存在服务端，数据相对比较安全。2、session集中管理也有好处，就是用户登录、注销服务端可控。cookiecookie也是一种解决网站用户认证的实现方式，用户登录时，服务器会发送包含登录凭据的Cookie到用户浏览器客户端，浏览器会将Cookie的key/value保存用户本地（内存或硬盘），用户再访问网站，浏览器会发送cookie信息到服务器端，服务器端接收cookie并解析来维护用户的登录状态。cookie避免session集中管理的问题，但也存在弊端：1、跨域问题。2、数据存储在浏览器端，数据容易被窃取及被csrf攻击，安全性差。优点：1、相对于session简单，不用服务端维护用户认证信息。2、数据持久性。jwtjwt通过json传输，php、java、golang等很多语言支持，通用性比较好，不存在跨域问题。传输数据通过数据签名相对比较安全。客户端与服务端通过jwt交互，服务端通过解密token信息，来实现用户认证。不需要服务端集中维护token信息，便于扩展。当然jwt也有其缺点。缺点：1、用户无法主动登出，只要token在有效期内就有效。这里可以考虑redis设置同token有效期一直的黑名单解决此问题。2、token过了有效期，无法续签问题。可以考虑通过判断旧的token什么时候到期，过期的时候刷新token续签接口产生新token代替旧token。jwt设置有效期可以设置有效期，加入有效期是为了增加安全性，即token被黑客截获，也只能攻击较短时间。设置有效期就会面临token续签问题，解决方案如下通常服务端设置两个tokenAccess Token：添加到 HTTP 请求的 header 中，进行用户认证，请求接口资源。refresh token：用于当 Access Token过期后，客户端传递refresh token刷新 Access Token续期接口，获取新的Access Token和refresh token。其有效期比 Access Token有效期长。jwt构成：Header：TOKEN 的类型，就是JWT，签名的算法，如 HMAC SHA256、HS384Payload：载荷又称为Claim，携带的信息，比如用户名、过期时间等，一般叫做 ClaimSignature：签名，是由header、payload 和你自己维护的一个 secret 经过加密得来的jwt使用初次登录：用户初次登录，输入用户名密码密码验证：服务器从数据库取出用户名和密码进行验证生成JWT：服务器端验证通过，根据从数据库返回的信息，以及预设规则，生成JWT返还JWT：服务器的HTTP RESPONSE中将JWT返还带JWT的请求：以后客户端发起请求，HTTP REQUESTHEADER中的Authorizatio字段都要有值，为JWT服务器验证JWT代码实现<pre><code class="lang-php">class Jwt {

//头部
    private static $header=array(
        'alg'=&gt;'HS256', //生成signature的算法
        'typ'=&gt;'JWT'    //类型
    );

//使用HMAC生成信息摘要时所使用的密钥
    private static $key='123456';

/**
     * 获取jwt token
     * @param array $payload jwt载荷   格式如下非必须
     * [
     *  'iss'=&gt;'jwt_admin',  //该JWT的签发者
     *  'iat'=&gt;time(),  //签发时间
     *  'exp'=&gt;time()+7200,  //过期时间
     *  'nbf'=&gt;time()+60,  //该时间之前不接收处理该Token
     *  'sub'=&gt;'www.admin.com',  //面向的用户
     *  'jti'=&gt;md5(uniqid('JWT').time())  //该Token唯一标识
     * ]
     * @return bool|string
     */
    public static function getToken(array $payload)
    {
        if(is_array($payload))
        {
            $base64header=self::base64UrlEncode(json_encode(self::$header,JSON_UNESCAPED_UNICODE));
            $base64payload=self::base64UrlEncode(json_encode($payload,JSON_UNESCAPED_UNICODE));
            $token=$base64header.'.'.$base64payload.'.'.self::signature($base64header.'.'.$base64payload,self::$key,self::$header['alg']);
            return $token;
        }else{
            return false;
        }
    }

/**
     * 验证token是否有效,默认验证exp,nbf,iat时间
     * @param string $Token 需要验证的token
     * @return bool|string
     */
    public static function verifyToken(string $Token)
    {
        $tokens = explode('.', $Token);
        if (count($tokens) != 3)
            return false;

list($base64header, $base64payload, $sign) = $tokens;

//获取jwt算法
        $base64decodeheader = json_decode(self::base64UrlDecode($base64header), JSON_OBJECT_AS_ARRAY);
        if (empty($base64decodeheader['alg']))
            return false;

//签名验证
        if (self::signature($base64header . '.' . $base64payload, self::$key, $base64decodeheader['alg']) !== $sign)
            return false;

$payload = json_decode(self::base64UrlDecode($base64payload), JSON_OBJECT_AS_ARRAY);

//签发时间大于当前服务器时间验证失败
        if (isset($payload['iat']) &amp;&amp; $payload['iat'] &gt; time())
            return false;

//过期时间小宇当前服务器时间验证失败
        if (isset($payload['exp']) &amp;&amp; $payload['exp'] &lt; time())
            return false;

//该nbf时间之前不接收处理该Token
        if (isset($payload['nbf']) &amp;&amp; $payload['nbf'] &gt; time())
            return false;

return $payload;
    }

/**
     * base64UrlEncode   https://jwt.io/  中base64UrlEncode编码实现
     * @param string $input 需要编码的字符串
     * @return string
     */
    private static function base64UrlEncode(string $input)
    {
        return str_replace('=', '', strtr(base64_encode($input), '+/', '-_'));
    }

/**
     * base64UrlEncode  https://jwt.io/  中base64UrlEncode解码实现
     * @param string $input 需要解码的字符串
     * @return bool|string
     */
    private static function base64UrlDecode(string $input)
    {
        $remainder = strlen($input) % 4;
        if ($remainder) {
            $addlen = 4 - $remainder;
            $input .= str_repeat('=', $addlen);
        }
        return base64_decode(strtr($input, '-_', '+/'));
    }

/**
     * HMACSHA256签名   https://jwt.io/  中HMACSHA256签名实现
     * @param string $input 为base64UrlEncode(header).&quot;.&quot;.base64UrlEncode(payload)
     * @param string $key
     * @param string $alg   算法方式
     * @return mixed
     */
    private static function signature(string $input, string $key, string $alg = 'HS256')
    {
        $alg_config=array(
            'HS256'=&gt;'sha256'
        );
        return self::base64UrlEncode(hash_hmac($alg_config[$alg], $input, $key,true));
    }
}

//测试和官网是否匹配begin
    $payload=array('sub'=&gt;'1234567890','name'=&gt;'John Doe','iat'=&gt;1516239022);
    $jwt=new Jwt;
    $token=$jwt-&gt;getToken($payload);
    echo &quot;&lt;pre&gt;&quot;;
    echo $token;

//对token进行验证签名
    $getPayload=$jwt-&gt;verifyToken($token);
    echo &quot;&lt;br&gt;&lt;br&gt;&quot;;
    var_dump($getPayload);
    echo &quot;&lt;br&gt;&lt;br&gt;&quot;;
    //测试和官网是否匹配end

//自己使用测试begin
    $payload_test=array('iss'=&gt;'admin','iat'=&gt;time(),'exp'=&gt;time()+7200,'nbf'=&gt;time(),'sub'=&gt;'www.admin.com','jti'=&gt;md5(uniqid('JWT').time()));;
    $token_test=Jwt::getToken($payload_test);
    echo &quot;&lt;pre&gt;&quot;;
    echo $token_test;

//对token进行验证签名
 $getPayload_test=Jwt::verifyToken($token_test);
 echo &quot;&lt;br&gt;&lt;br&gt;&quot;;
 var_dump($getPayload_test);
 echo &quot;&lt;br&gt;&lt;br&gt;&quot;;
 //自己使用时候end</code></pre>

JWT认证

Leave a Comment Cancel reply
使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款

带你走入redis的应用场景

php 管道/流水线/Pipeline模式指的是什么？

简单聊一聊Redis持久化

带你一步步用php实现redis分布式、高并发库存问题

go语言之IO操作(待补充)

Linux的Namespace(网络命名空间)

2015年最新影楼样片大全100套-棚拍婚纱样片-红丝带系列全套25P

微信小程序的冒泡、非冒泡、捕获、捕获阻止、互斥事件

你经常忽略的Redis常见面试题，精选给你整理

我们耳熟能详的负载均衡，你该如何配置？

JWT认证

Leave a Comment Cancel reply 使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款

JWT认证

Leave a Comment Cancel reply
使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款