jwt php_PHP JWT基础知识及其简单示例

PHP JWT 介绍及示例

之前一直没认真看过 JWT，直到前几天在做 web 验证，朋友推荐我看了 JWT，发现 JWT 已经被大家广泛使用了，看来我有点落伍了，呵呵，趁着这世界还小，好好看看这个。

JWT（JSON Web Token），顾名思义就是可以在 Web 上传输的 token，而这个 token 是 JSON 格式的。它是一个开源标准（RFC 7519），定义了一种紧凑、自包含的方式，可以在不同的实体之间安全地以 JSON 格式传输信息。

由于现在很多项目都是前后端分离，API模式，传统的模式已经不能满足认证的需求，这时候JWT就派上用场了，可以说API认证是JWT一个很好的应用场景。

参数解释

名称 解释

国际空间站 ()

请求实体可以是发起请求的用户信息，也可以是jwt的签发者信息

子（）

设置主题，类似于发送电子邮件时的主题

澳元 ()

接收jwt的一方

exp()

Token 过期时间

nbf （不是）

当前时间在nbf设置的时间之前，因此无法使用该token

iat（在）

代币创建时间

jti (JWT 标识)

为当前 token 设置唯一标识符

这是一个小演示

'dadsa-12312-vsd1s1-fsds',
  'account'=>'daisc',
  'password'=>'123456'
];
$redis = redis();
$action = $_GET['action'];
switch ($action)
{
  case 'login':
    login();
    break;
  case 'info':
    info();
    break;
}
//登陆，写入验证token
function login()
{
  global $user;
  $account = $_GET['account'];
  $pwd = $_GET['password'];
  $res = [];
  if($account==$user['account']&&$pwd==$user['password'])
  {
    unset($user['password']);
    $time = time();
    $token = [
      'iss'=>'http://test.cc',//签发者
      'iat'=>$time,
      'exp'=>$time+60,
      'data'=>$user
    ];
    $jwt = \Firebase\JWT\JWT::encode($token,KEY);
    $res['code'] = 200;
    $res['message'] = '登录成功';
    $res['jwt'] = $jwt;
  }
  else
  {
    $res['message']= '用户名或密码错误';
    $res['code'] = 401;
  }
  exit(json_encode($res));
}
function info()
{
  $jwt = $_SERVER['HTTP_AUTHORIZATION'] ?? false;
  $res['code'] = 200;
  if($jwt)
  {
    $jwt = str_replace('Bearer ','',$jwt);
    if(empty($jwt))
    {
      $res['code'] = 401;
      $res['msg'] = 'You do not have permission to access.';
      exit(json_encode($res));
    }
    try{
      $token = (array) \Firebase\JWT\JWT::decode($jwt,KEY, ['HS256']);
      if($token['exp']connect('127.0.0.1');
  return $redis;
}

此 DMEO 使用 JWT 进行简单身份验证。它使用 php-jwt 加密包

其中KEY是定义的私钥，也就是jwt中的sign部分，必须保存好。

一些 php-jwt 包已经为我们完成了这个操作。加密代码如下

  public static function encode($payload, $key, $alg = 'HS256', $keyId = null, $head = null)
  {
    $header = array('typ' => 'JWT', 'alg' => $alg);
    if ($keyId !== null) {
      $header['kid'] = $keyId;
    }
    if ( isset($head) && is_array($head) ) {
      $header = array_merge($head, $header);
    }
    $segments = array();
    $segments[] = static::urlsafeB64Encode(static::jsonEncode($header));
    $segments[] = static::urlsafeB64Encode(static::jsonEncode($payload));
    $signing_input = implode('.', $segments);
    $signature = static::sign($signing_input, $key, $alg);
    $segments[] = static::urlsafeB64Encode($signature);
    return implode('.', $segments);
  }

可以看到默认的加密方式是HS256，这也是jwt比较安全的原因，现阶段来说HS256加密还是很安全的。

该软件包还支持证书加密。

这个包已经帮我们完成了加密解密的过程。所以我们只需要定义jwt中的部分即可。也就是demo中的token部分。如果加密成功，会得到一个加密的Jwt字符串。下次前端请求API的时候，就需要携带这个jwt字符串作为认证。

在中添加，在服务端验证的时候会获取这个值来验证的有效性。

以下是一些常见的配置

 $token  = [
      #非必须。issuer 请求实体，可以是发起请求的用户的信息，也可是jwt的签发者。
      "iss"    => "http://example.org",
      #非必须。issued at。 token创建时间，unix时间戳格式
      "iat"    => $_SERVER['REQUEST_TIME'],
      #非必须。expire 指定token的生命周期。unix时间戳格式
      "exp"    => $_SERVER['REQUEST_TIME'] + 7200,
      #非必须。接收该JWT的一方。
      "aud"    => "http://example.com",
      #非必须。该JWT所面向的用户
      "sub"    => "jrocket@example.com",
      # 非必须。not before。如果当前时间在nbf里的时间之前，则Token不被接受；一般都会留一些余地，比如几分钟。
      "nbf"    => 1357000000,
      # 非必须。JWT ID。针对当前token的唯一标识
      "jti"    => '222we',
      # 自定义字段
      "GivenName" => "Jonny",
      # 自定义字段
      "name"  => "Rocket",
      # 自定义字段
      "Email"   => "jrocket@example.com",
     
    ];

这里面包含的配置可以自由配置，也可以自己添加一些其他的，这些都是网上常用的，可以说是一个约定俗成。

防范措施

关于jwt的使用就讲到这里，使用上面的代码可能会遇到两个问题：

1. 命名空间错误

解决办法：如果没有使用命名空间，请使用导入文件的方式，如果使用命名空间出现错误，请检查命名空间的路径。

2.生成的token是一个对象

解决方案： ()$token 将 token 转换为