什么是JWT
  • JWT(JSON Web Token), 顾名思义就是可以在Web上传输的token,这种token是用JSON格式进行format的。它是一个开源标准(RFC 7519),定义了一个紧凑的自包含的方式在不同实体之间安全的用JSON格式传输信息。
  • 现在,许多项目模式基本都是前端分离和restful api模式。 因此,传统的session模式无法满足认证要求,这时就出现了jwt。 可以说,restful api模式对于jwt是一个很好的应用场景。
JWT的参数解释

1.png

1.png

<?php require_once 'php-jwt/src/JWT.php'; header('Content-type:application/json'); //定义Key const KEY = 'dasjdkashdwqe1213dsfsn;p'; $user = [ 'uid' => '123', 'account' => 'niu', 'password' => '123456' ]; $action = $_GET['action']; switch ($action) { case 'login': login(); break; case 'info': info(); break; } //登陆,写入验证token function login() { global $user; $account = $_GET['account']; $pwd = $_GET['password']; $res = []; if ($account == $user['account'] && $pwd == $user['password']) { unset($user['password']); $time = time(); $token = [ 'iss' => 'http://test.cc',//签发者 'iat' => $time, 'exp' => $time + 60, 'data' => $user ]; $jwt = Firebase\JWT\JWT::encode($token, KEY); $res['code'] = 200; $res['message'] = '登录成功'; $res['jwt'] = $jwt; } else { $res['message'] = '用户名或密码错误'; $res['code'] = 401; } exit(json_encode($res)); } /** * */ function info() { //$jwt = $_SERVER['HTTP_AUTHORIZATION'] ?? false; $jwt = $_GET['jwt']; $res['code'] = 200; if ($jwt) { $jwt = str_replace('Bearer ', '', $jwt); if (empty($jwt)) { $res['code'] = 401; $res['msg'] = 'You do not have permission to access.'; exit(json_encode($res)); } try { $token = (array)Firebase\JWT\JWT::decode($jwt, KEY, ['HS256']); if ($token['exp'] < time()) { $res['code'] = 401; $res['msg'] = '登录超时,请重新登录'; } $res['data'] = $token['data']; } catch (Exception $E) { $res['code'] = 401; $res['msg'] = '登录超时,请重新登录.'; } } else { $res['code'] = 401; $res['msg'] = 'You do not have permission to access.'; } exit(json_encode($res)); }
这个例子里面用jwt做了一个简单的认证。其中用到了一个php-jwt的加密包,加密解密的过程这个包已经帮我们完成了。所以我们只需要定义jwt中的 poyload部分就可以了。也就是demo里面的token部分。加密成功会得到一个加密的Jwt字符串,下次前端在请求api的时候需要携带这个jwt字符串作为认证。

在header头里面增加Authorization。在服务端验证的时候回通过取得这个值来验证回话的有效。

下面是poyload的一些常用配置
$token = [ #非必须。issuer 请求实体,可以是发起请求的用户的信息,也可是jwt的签发者。 "iss" => "http://example.org", #非必须。issued at。token创建时间,unix时间戳格式 "iat" => $_SERVER['REQUEST_TIME'], #非必须。expire 指定token的生命周期。unix时间戳格式 "exp" => $_SERVER['REQUEST_TIME'] + 7200, #非必须。接收该JWT的一方。 "aud" => "http://example.com", #非必须。该JWT所面向的用户 "sub" => "jrocket@example.com", # 非必须。not before。如果当前时间在nbf里的时间之前,则Token不被接受;一般都会留一些余地,比如几分钟。 "nbf" => 1357000000, # 非必须。JWT ID。针对当前token的唯一标识 "jti" => '222we', # 自定义字段 "GivenName" => "Jonny", # 自定义字段 "name" => "Rocket", # 自定义字段 "Email" => "jrocket@example.com", ];
里面包含的配置可以自由配置,也可以自己添加一些其他的。这些都是网上大家常用的,可以说是一种约定吧。
Last modification:September 20, 2020
如果觉得我的文章对你有用,请随意赞赏