1.JWT是什么���?
JWT官網(wǎng) https://jwt.io
官網(wǎng)簡(jiǎn)介:JSON Web令牌(JWT)是一個(gè)開放標(biāo)準(zhǔn)(RFC 7519)����,它定義了一種緊湊且自包含的方式,用于在各方之間作為JSON對(duì)象安全地傳輸信息�。由于此信息是經(jīng)過數(shù)字簽名的����,因此可以被驗(yàn)證和信任����?���?梢允褂妹孛埽ㄊ褂肏MAC算法)或使用RSA或ECDSA的公鑰/私鑰對(duì)對(duì)JWT進(jìn)行簽名�。
通常來說����,JWT是一個(gè)由包含用戶信息所生成的加密串,將生成的JWT加密串放入所有的請(qǐng)求head中,前端通過設(shè)定的秘鑰加密參數(shù)�,發(fā)送數(shù)據(jù)給后端,后端接收參數(shù)�����,按照設(shè)定的秘鑰����,同樣加密接收參數(shù)��,與前端加密參數(shù)做比對(duì),保證請(qǐng)求有效并防止參數(shù)不被篡改。驗(yàn)證通過就進(jìn)行相關(guān)的邏輯處理����,否則請(qǐng)求算作無效請(qǐng)求���。
2.為什么使用JWT?
傳統(tǒng)互聯(lián)網(wǎng)項(xiàng)目在實(shí)現(xiàn)保持登錄狀態(tài)����、退出登錄���、接口請(qǐng)求等功能時(shí)會(huì)使用Session����,但是眾所周知Session數(shù)據(jù)在產(chǎn)生后會(huì)存儲(chǔ)與服務(wù)器端��,所以當(dāng)用戶量達(dá)到一定程度會(huì)相應(yīng)影響到服務(wù)器的性能�,且Session在前后端分離的項(xiàng)目中或是多服務(wù)器項(xiàng)目中的支持不是很好����。但是Token不會(huì)產(chǎn)生這些問題�����,服務(wù)器端對(duì)Token只有生成和驗(yàn)證操作�����,不會(huì)存放數(shù)據(jù)���,針對(duì)前后端分離的項(xiàng)目,包括手機(jī)APP和當(dāng)前熱門的小程序的支持都很不錯(cuò)����,所以Token成為了用于驗(yàn)證的極好選擇。
3.在項(xiàng)目中引入JWT擴(kuò)展
composer require firebase/php-jwt
4.JWT具體使用步驟
在登錄控制器中
$key = 'e10adc3949ba59abbe56e057f20f883e';//自定義秘鑰����,加密解密都需要用到
$time = time(); //當(dāng)前時(shí)間
$token = [
'iat' => $time, //簽發(fā)時(shí)間
'nbf' => $time, //(Not Before):某個(gè)時(shí)間點(diǎn)后才能訪問���,比如設(shè)置time+30����,表示當(dāng)前時(shí)間30秒后才能使用
'data' => [
'userid' => 1,
'username' => 'zqw.xyz',
]];
$jwtToken = \Firebase\JWT\JWT::encode($token, $key);
登錄成功后���,將生成 token 返回給前端。前端記錄該用戶信息的 token ����,將 token 放入 head���,之后的請(qǐng)求中都需要 head 都需包含 token����。
我們可以定義一個(gè) AppID 和 AppSecret����,同時(shí)告知前端�。前端每次請(qǐng)求中攜帶 AppID ���,請(qǐng)求參數(shù)加入一個(gè)必要參數(shù) sign �,sign 是由所有請(qǐng)求參數(shù)拼接而成加密后的加密串。
注意: sign 參數(shù)值��,需要加入 AppID 所需要對(duì)應(yīng) AppSecret�����,請(qǐng)求參數(shù)和后端約定相同排序規(guī)則,然后進(jìn)行加密����。
后端驗(yàn)證簽名是否通過
$token = $request->instance()->header('token');
if(empty($token)){
abort(0, 'token驗(yàn)證失敗');
}
$appid = $request->param('appid');
if(empty($appid)){
abort(0, 'appid驗(yàn)證失敗');
}
$request_time = $request->param('request_time');
if(empty($request_time)){
abort(0,'時(shí)間戳驗(yàn)證失敗');
}
$random_number = $request->param('random_number');
if(empty($random_number)){
abort(0,'數(shù)字驗(yàn)證失敗');
}
//記錄每次請(qǐng)求的uuid���,如果uuid已存在���,則該次請(qǐng)求無效��。
$request_uuid = Db::name('request')->where('uuid',$random_number)->find();
if(count($request_uuid) > 1){
abort(0,'請(qǐng)求無效');
}else{
Db::name('request')->insert([
'uuid' => $random_number,
'add_time' => time(),
'url' => $request->baseUrl(),
]);
}
$secret_type = [
'appid1' => 'bd98e16b5eaf3e49fa2ecd3f9ee8f6ae',
'appid2' => 'b7e23061042f2799180e41d94cdbf861',
];
$secret = $secret_type[$appid];
if(empty($random_number)){
abort(0,'secret驗(yàn)證失敗');
}
$sign = $request->param('sign');
if(empty($sign)){
abort(0,'sign驗(yàn)證失敗');
}
$all_obj['secret'] = $secret;
ksort($all_obj);
$sign_key = '';
foreach ($all_obj as $k => $v) {
$sign_key .= $k.='='.$v.'';
}
$sign_key = substr_replace($sign_key ,"", -1);
$md_sign = md5($sign_key);
if($sign !== $md_sign){
abort(0,'簽名驗(yàn)證失敗');
}
注意: 為防止重復(fù)請(qǐng)求,建議由前端每次傳入 uuid �,根據(jù) uuid 請(qǐng)求是否重復(fù)。
6.驗(yàn)證通過后�,進(jìn)行相關(guān)的業(yè)務(wù)邏輯代碼處理。
//
$result = array(
'status' => 1,
'msg' => '獲取成功',
'result' => array(
)
);
return json($result)
以上就是本文的全部?jī)?nèi)容���,希望對(duì)大家的學(xué)習(xí)有所幫助����,也希望大家多多支持腳本之家�����。
您可能感興趣的文章:- Springboot+SpringSecurity+JWT實(shí)現(xiàn)用戶登錄和權(quán)限認(rèn)證示例
- 詳解用JWT對(duì)SpringCloud進(jìn)行認(rèn)證和鑒權(quán)
- Django JWT Token RestfulAPI用戶認(rèn)證詳解
- php 后端實(shí)現(xiàn)JWT認(rèn)證方法示例
- 詳解SpringCloud服務(wù)認(rèn)證(JWT)
- DjangoRestFramework 使用 simpleJWT 登陸認(rèn)證完整記錄
