php JWT在web端的使用方法

解釋一下JWT

JWT就是一個字符串，通過加密處理與校驗處理的字符串，由三個部分組成。基於token的身份驗證能夠替代傳統的cookie+session身份驗證方法。三個部分分別以下：

header.payload.signature

header部分組成

header 格式爲:

{
"typ":"JWT",
"alg":"HS256"
}

這就是一個json串，兩個字段都是必須的,alg字段指定了生成signature的算法，默認值爲 HS256,能夠本身指定其餘的加密算法，如RSA.通過base64encode就能夠獲得 header.

payload 部分組成

playload 基本組成部分：

簡單點：

$payload=[
            'iss' => $issuer, //簽發者
            'iat' => $_SERVER['REQUEST_TIME'], //何時簽發的
            'exp' => $_SERVER['REQUEST_TIME'] + 7200 //過時時間
            'uid'=>1111
        ];

複雜點：官方說法,三個部分組成( Reserved claims， Public claims, Private claims)

$token   = [
            #非必須。issuer 請求實體，能夠是發起請求的用戶的信息，也但是jwt的簽發者。
            "iss"       => "http://example.org",
            #非必須。issued at。 token建立時間，unix時間戳格式
            "iat"       => $_SERVER['REQUEST_TIME'],
            #非必須。expire 指定token的生命週期。unix時間戳格式
            "exp"       => $_SERVER['REQUEST_TIME'] + 7200,
            #非必須。接收該JWT的一方。
            "aud"       => "http://example.com",
            #非必須。該JWT所面向的用戶
            "sub"       => "jrocket@example.com",
            # 非必須。not before。若是當前時間在nbf裏的時間以前，則Token不被接受；通常都會留一些餘地，好比幾分鐘。
            "nbf"       => 1357000000,
            # 非必須。JWT ID。針對當前token的惟一標識
            "jti"       => '222we',
            # 自定義字段
            "GivenName" => "Jonny",
            # 自定義字段
            "name"   => "Rocket",
            # 自定義字段
            "Email"     => "jrocket@example.com",
         
        ];

payload 也是一個json數據，是代表用戶身份的數據，能夠本身自定義字段，很靈活。你也能夠簡單的使用，好比簡單的方式。通過json_encode和base64_encode就可獲得payload

signature組成部分

將 header和 payload使用header中指定的加密算法加密，固然加密過程還須要自定祕鑰，本身選一個字符串就能夠了。

官網實例：

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

本身使用：

<?php

    public static function encode(array $payload, string $key, string $alg = 'SHA256')
    {
        $key = md5($key);
        $jwt = self::urlsafeB64Encode(json_encode(['typ' => 'JWT', 'alg' => $alg])) . '.' . self::urlsafeB64Encode(json_encode($payload));
        return $jwt . '.' . self::signature($jwt, $key, $alg);
    }

   public static function signature(string $input, string $key, string $alg)
    {
        return hash_hmac($alg, $input, $key);
    }

這三個部分使用.鏈接起來就是高大上的JWT,而後就可使用了.

JWT使用流程

官方使用流程說明：

翻譯一下：

• 初次登陸：用戶初次登陸，輸入用戶名密碼
• 密碼驗證：服務器從數據庫取出用戶名和密碼進行驗證
• 生成JWT：服務器端驗證經過，根據從數據庫返回的信息，以及預設規則，生成JWT
• 返還JWT：服務器的HTTP RESPONSE中將JWT返還
• 帶JWT的請求：之後客戶端發起請求，HTTP REQUEST HEADER中的Authorizatio字段都要有值，爲JWT

JWT 驗證過程

由於本身寫的，沒有使用框架，因此仍是得簡單記錄一下驗證過程

客戶端在請求頭中帶有JWT信息，後端獲取$_SERVER[HTTP_AUTHORIZATION]:

不過注意一點，我這個Authorization沒有加Bearer,官方使用中就使用了Bearer,你也能夠本身使用：

Authorization: Bearer <token>

php 驗證僞代碼：

<?php
public static function decode(string $jwt, string $key)
    {
        $tokens = explode('.', $jwt);
        $key    = md5($key);

        if (count($tokens) != 3)
            return false;

        list($header64, $payload64, $sign) = $tokens;

        $header = json_decode(self::urlsafeB64Decode($header64), JSON_OBJECT_AS_ARRAY);
        if (empty($header['alg']))
            return false;

        if (self::signature($header64 . '.' . $payload64, $key, $header['alg']) !== $sign)
            return false;

        $payload = json_decode(self::urlsafeB64Decode($payload64), JSON_OBJECT_AS_ARRAY);

        $time = $_SERVER['REQUEST_TIME'];
        if (isset($payload['iat']) && $payload['iat'] > $time)
            return false;

        if (isset($payload['exp']) && $payload['exp'] < $time)
            return false;

        return $payload;
    }

 public static function urlsafeB64Decode(string $input)
    {
        $remainder = strlen($input) % 4;

        if ($remainder)
        {
            $padlen = 4 - $remainder;
            $input .= str_repeat('=', $padlen);
        }

        return base64_decode(strtr($input, '-_', '+/'));
    }
    
    
     public static function urlsafeB64Encode(string $input)
    {
        return str_replace('=', '', strtr(base64_encode($input), '+/', '-_'));
    }

參考文章：
https://jwt.io/introduction/
http://www.cnblogs.com/zjutzz...