基於JWT的Token登陸認證
1.JWT簡介php
JSON Web Token(縮寫 JWT),是目前最流行的跨域認證解決方案。數據庫
2.JWT的原理跨域
JWT的原理是,服務器認證之後,生成一個JSON格式的對象,發回給客戶端,就像下面這樣.服務器
{ "用戶名": "admin", "角色": "超級管理員", "到期時間": "2019-07-13 00:00:00" }
之後,客戶端與服務端通訊的時候,都要發回這個 JSON 對象。服務器徹底只靠這個對象認定用戶身份。session
數據結構
服務器再也不保存任何 session 數據,也就是服務器變成無狀態了,從而比較容易實現擴展。composer
3.JWT的數據結構ide
ui
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiIsImp0aSI6IjNmMmc1N2E5MmFhIn0.eyJpYXQiOjE1NjI4MzM0MDgsImlzcyI6Imh0dHA6XC9cL3d3dy5weWcuY29tIiwiYXVkIjoiaHR0cDpcL1wvd3d3LnB5Zy5jb20iLCJuYmYiOjE1NjI4MzM0MDcsImV4cCI6MTU2MjkxOTgwOCwianRpIjoiM2YyZzU3YTkyYWEiLCJ1c2VyX2lkIjoxfQ.NFq1qQ-Z5c4pwit8ZkyWEwX6SBXmnHJcc6ZDgSD5nhU
JWT的三個部分依次以下:加密
- Header(頭部) - Payload(負載) - Signature(簽名)
4.JWT的使用方式
此後,客戶端每次與服務器通訊,都要帶上這個 JWT。你能夠把它放在 Cookie 裏面自動發送,可是這樣不能跨域,因此更好的作法是放在 HTTP 請求的頭信息Authorization字段裏面
5.JWT的幾個特色
(1)JWT 默認是不加密,但也是能夠加密的。生成原始 Token 之後,能夠用密鑰再加密一次。
(3)JWT 不只能夠用於認證,也能夠用於交換信息。有效使用 JWT,能夠下降服務器查詢數據庫的次數。
(4)JWT 的最大缺點是,因爲服務器不保存 session 狀態,所以沒法在使用過程當中廢止某個 token,或者更改 token 的權限。也就是說,一旦 JWT 簽發了,在到期以前就會始終有效,除非服務器部署額外的邏輯。
(5)JWT 自己包含了認證信息,一旦泄露,任何人均可以得到該令牌的全部權限。爲了減小盜用,JWT 的有效期應該設置得比較短。對於一些比較重要的權限,使用時應該再次對用戶進行認證。
(6)爲了減小盜用,JWT 不該該使用 HTTP 協議明碼傳輸,要使用 HTTPS 協議傳輸。
6.JWT功能實現
使用composer安裝 JWT 功能組件
composer require lcobucci/jwt 3.3
<?php namespace tools\jwt; use Lcobucci\JWT\Builder; use Lcobucci\JWT\Parser; use Lcobucci\JWT\Signer\Hmac\Sha256; use Lcobucci\JWT\ValidationData; /** * Created by PhpStorm. * User: asus * Date: 2019/4/5 * Time: 13:02 */ class Token { private static $_config = [ 'audience' => '',//接收人 'id' => '',//token的惟一標識,這裏只是一個簡單示例 'sign' => '',//簽名密鑰 'issuer' => '',//簽發人 'expire' => 3600*24 //有效期 ]; //生成token public static function getToken($user_id){ //簽名對象 $signer = new Sha256(); //獲取當前時間戳 $time = time(); //設置簽發人、接收人、惟一標識、簽發時間、當即生效、過時時間、用戶id、簽名 $token = (new Builder())->issuedBy(self::$_config['issuer']) ->canOnlyBeUsedBy(self::$_config['audience']) ->identifiedBy(self::$_config['id'], true) ->issuedAt($time) ->canOnlyBeUsedAfter($time-1) ->expiresAt($time + self::$_config['expire']) ->with('user_id', $user_id) ->sign($signer, self::$_config['sign']) ->getToken(); return (string)$token; } //從請求信息中獲取token令牌 public static function getRequestToken() { if (empty($_SERVER['HTTP_AUTHORIZATION'])) { return false; } $header = $_SERVER['HTTP_AUTHORIZATION']; $method = 'bearer'; //去除token中可能存在的bearer標識 return trim(str_ireplace($method, '', $header)); } //從token中獲取用戶id (包含token的校驗) public static function getUserId($token = null) { $user_id = null; $token = empty($token)?self::getRequestToken():$token; if (!empty($token)) { //爲了註銷token 加如下if判斷代碼 $delete_token = cache('delete_token') ?: []; if(in_array($token, $delete_token)){ //token已被刪除(註銷) return $user_id; } $token = (new Parser())->parse((string) $token); //驗證token $data = new ValidationData(); $data->setIssuer(self::$_config['issuer']);//驗證的簽發人 $data->setAudience(self::$_config['audience']);//驗證的接收人 $data->setId(self::$_config['id']);//驗證token標識 if (!$token->validate($data)) { //token驗證失敗 return $user_id; } //驗證簽名 $signer = new Sha256(); if (!$token->verify($signer, self::$_config['sign'])) { //簽名驗證失敗 return $user_id; } //從token中獲取用戶id $user_id = $token->getClaim('user_id'); } return $user_id; } }
- 1. 基於JWT的Token登陸認證(一)
- 2. 基於jwt的用戶登陸認證
- 3. Springboot+Jwt+Redis 完成Token登陸認證
- 4. Token登陸認證
- 5. iview-admin2.5 + django1.11 jwt登陸 token登陸認證+修改請求頭
- 6. springboot——基於JWT的token認證
- 7. 基於JWT的Token認證機制(一)
- 8. JWT Token認證
- 9. jwt用戶登陸認證
- 10. 實現基於JWT的Token登陸驗證功能
- 更多相關文章...
- • Spring基於Annotation裝配Bean - Spring教程
- • Spring基於XML裝配Bean - Spring教程
- • ☆基於Java Instrument的Agent實現
- • 適用於PHP初學者的學習線路和建議
-
每一个你不满意的现在,都有一个你没有努力的曾经。