什么是JWT
  • JWT(JSON Web Token), 顾名思义就是可以在Web上传输的token,这种token是用JSON格式进行format的。它是一个开源标准(RFC 7519),定义了一个紧凑的自包含的方式在不同实体之间安全的用JSON格式传输信息。
  • 现在,许多项目模式基本都是前端分离和restful api模式。 因此,传统的session模式无法满足认证要求,这时就出现了jwt。 可以说,restful api模式对于jwt是一个很好的应用场景。
JWT的参数解释

1.png

<?php
require_once 'php-jwt/src/JWT.php';
header('Content-type:application/json');
//定义Key
const KEY = 'dasjdkashdwqe1213dsfsn;p';
$user = [
    'uid' => '123',
    'account' => 'niu',
    'password' => '123456'
];
$action = $_GET['action'];
switch ($action) {
    case 'login':
        login();
        break;
    case 'info':
        info();
        break;

}
//登陆,写入验证token
function login()
{
    global $user;
    $account = $_GET['account'];
    $pwd = $_GET['password'];
    $res = [];
    if ($account == $user['account'] && $pwd == $user['password']) {
        unset($user['password']);
        $time = time();
        $token = [
            'iss' => 'http://test.cc',//签发者
            'iat' => $time,
            'exp' => $time + 60,
            'data' => $user
        ];
        $jwt = Firebase\JWT\JWT::encode($token, KEY);
        $res['code'] = 200;
        $res['message'] = '登录成功';
        $res['jwt'] = $jwt;

    } else {
        $res['message'] = '用户名或密码错误';
        $res['code'] = 401;
    }
    exit(json_encode($res));
}

/**
 *
 */
function info()
{
    //$jwt = $_SERVER['HTTP_AUTHORIZATION'] ?? false;
    $jwt = $_GET['jwt'];
    $res['code'] = 200;
    if ($jwt) {
        $jwt = str_replace('Bearer ', '', $jwt);
        if (empty($jwt)) {
            $res['code'] = 401;
            $res['msg'] = 'You do not have permission to access.';
            exit(json_encode($res));
        }
        try {
            $token = (array)Firebase\JWT\JWT::decode($jwt, KEY, ['HS256']);
            if ($token['exp'] < time()) {
                $res['code'] = 401;
                $res['msg'] = '登录超时,请重新登录';
            }
            $res['data'] = $token['data'];
        } catch (Exception $E) {
            $res['code'] = 401;
            $res['msg'] = '登录超时,请重新登录.';
        }
    } else {
        $res['code'] = 401;
        $res['msg'] = 'You do not have permission to access.';
    }
    exit(json_encode($res));
}
这个例子里面用jwt做了一个简单的认证。其中用到了一个php-jwt的加密包,加密解密的过程这个包已经帮我们完成了。所以我们只需要定义jwt中的 poyload部分就可以了。也就是demo里面的token部分。加密成功会得到一个加密的Jwt字符串,下次前端在请求api的时候需要携带这个jwt字符串作为认证。

在header头里面增加Authorization。在服务端验证的时候回通过取得这个值来验证回话的有效。

下面是poyload的一些常用配置
$token  = [
    #非必须。issuer 请求实体,可以是发起请求的用户的信息,也可是jwt的签发者。
    "iss"    => "http://example.org",
    #非必须。issued at。token创建时间,unix时间戳格式
    "iat"    => $_SERVER['REQUEST_TIME'],
    #非必须。expire 指定token的生命周期。unix时间戳格式
    "exp"    => $_SERVER['REQUEST_TIME'] + 7200,
    #非必须。接收该JWT的一方。
    "aud"    => "http://example.com",
    #非必须。该JWT所面向的用户
    "sub"    => "jrocket@example.com",
    # 非必须。not before。如果当前时间在nbf里的时间之前,则Token不被接受;一般都会留一些余地,比如几分钟。
    "nbf"    => 1357000000,
    # 非必须。JWT ID。针对当前token的唯一标识
    "jti"    => '222we',
    # 自定义字段
    "GivenName" => "Jonny",
    # 自定义字段
    "name"  => "Rocket",
    # 自定义字段
    "Email"   => "jrocket@example.com",

];
里面包含的配置可以自由配置,也可以自己添加一些其他的。这些都是网上大家常用的,可以说是一种约定吧。
Last modification:September 20, 2020
© Allow specification reprint
如果觉得我的文章对你有用,请随意赞赏