如何使用JWT作Api接口身份認證？

1.JWT是什麼？

JWT官網 https://jwt.io
官網簡介：JSON Web令牌（JWT）是一個開放標準（RFC 7519），它定義了一種緊湊且自包含的方式，用於在各方之間做爲JSON對象安全地傳輸信息。因爲此信息是通過數字簽名的，所以能夠被驗證和信任。可使用祕密（使用HMAC算法）或使用RSA或ECDSA的公鑰/私鑰對對JWT進行簽名。
一般來講，JWT是一個由包含用戶信息所生成的加密串，將生成的JWT加密串放入全部的請求head中，前端經過設定的祕鑰加密參數，發送數據給後端，後端接收參數，按照設定的祕鑰，一樣加密接收參數，與前端加密參數作比對，保證請求有效並防止參數不被篡改。驗證經過就進行相關的邏輯處理，不然請求算做無效請求。

2.爲何使用JWT?

傳統互聯網項目在實現保持登陸狀態、退出登陸、接口請求等功能時會使用Session，可是衆所周知Session數據在產生後會存儲與服務器端，因此當用戶量達到必定程度會相應影響到服務器的性能，且Session在先後端分離的項目中或是多服務器項目中的支持不是很好。可是Token不會產生這些問題，服務器端對Token只有生成和驗證操做，不會存放數據，針對先後端分離的項目，包括手機APP和當前熱門的小程序的支持都很不錯，因此Token成爲了用於驗證的極好選擇。

3.在項目中引入JWT擴展

composer require firebase/php-jwt

4.JWT具體使用步驟

在登陸控制器中

$key = 'e10adc3949ba59abbe56e057f20f883e';//自定義祕鑰，加密解密都須要用到
$time = time(); //當前時間
$token = [
    'iat' => $time, //簽發時間
    'nbf' => $time, //(Not Before)：某個時間點後才能訪問，好比設置time+30，表示當前時間30秒後才能使用
    'data' => [
        'userid' => 1,
        'username' => 'zqw.xyz',
    ]];
$jwtToken = \Firebase\JWT\JWT::encode($token, $key);

3.登陸成功後，將生成 token 返回給前端。前端記錄該用戶信息的 token ，將 token 放入 head，以後的請求中都須要 head 都需包含 token。
4.咱們能夠定義一個 AppID 和 AppSecret，同時告知前端。前端每次請求中攜帶 AppID ，請求參數加入一個必要參數 sign ，sign 是由全部請求參數拼接而成加密後的加密串。
注意： sign 參數值，須要加入 AppID 所須要對應 AppSecret，請求參數和後端約定相同排序規則，而後進行加密。

5.後端驗證簽名是否經過

$token = $request->instance()->header('token');
if(empty($token)){
    abort(0, 'token驗證失敗');
}
$appid = $request->param('appid');
if(empty($appid)){
    abort(0, 'appid驗證失敗');
}
$request_time = $request->param('request_time');
if(empty($request_time)){
    abort(0,'時間戳驗證失敗');
}
$random_number = $request->param('random_number');
if(empty($random_number)){
    abort(0,'數字驗證失敗');
}
//記錄每次請求的uuid，若是uuid已存在，則該次請求無效。

$request_uuid = Db::name('request')->where('uuid',$random_number)->find();
if(count($request_uuid) > 1){
    abort(0,'請求無效');
}else{
    Db::name('request')->insert([
        'uuid' => $random_number,
        'add_time' => time(),
        'url' => $request->baseUrl(),
    ]);
}



$secret_type = [
    'appid1' => 'bd98e16b5eaf3e49fa2ecd3f9ee8f6ae',
    'appid2' => 'b7e23061042f2799180e41d94cdbf861',
];
$secret = $secret_type[$appid];
if(empty($random_number)){
    abort(0,'secret驗證失敗');
}
$sign = $request->param('sign');
if(empty($sign)){
    abort(0,'sign驗證失敗');
}

$all_obj['secret'] = $secret;
ksort($all_obj);
$sign_key = '';
foreach ($all_obj as $k => $v) {
    $sign_key .= $k.='='.$v.'&';
}
$sign_key = substr_replace($sign_key ,"", -1);
$md_sign = md5($sign_key);
if($sign !== $md_sign){
    abort(0,'簽名驗證失敗');
}

注意： 爲防止重複請求，建議由前端每次傳入 uuid ，根據 uuid 請求是否重複。

6.驗證經過後，進行相關的業務邏輯代碼處理。

// 
$result = array(
    'status' => 1,
    'msg' => '獲取成功',
    'result' => array(
    )
);
return json($result)