PHP如何实现JWT认证以支持长尾词验证?

2026-04-02 02:331阅读0评论SEO问题
  • 内容介绍
  • 文章标签
  • 相关推荐

本文共计2113个文字,预计阅读时间需要9分钟。

PHP如何实现JWT认证以支持长尾词验证?

JWT(JSON Web Token)是为了在网络应用环境之间以安全、高效的方式传递信息而设计的一种基于JSON的开源标准。它是一种开放标准(RFC 7519),用于在各方之间安全地传输信息作为JSON对象。

JWT主要由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。

1. 头部(Header):这部分定义了JWT的算法类型和JWT的类型,通常为`JWT`。

2.载荷(Payload):这部分包含实际需要传输的数据,如用户ID、角色等。载荷中的数据是公开的,任何人都可以验证。

3.签名(Signature):这部分通过将头部、载荷和密钥进行签名算法处理,生成签名。通过验证签名,可以确保JWT在传输过程中未被篡改。

使用PHP实现JWT认证的基本步骤如下:

1. 安装JWT库:可以使用如`php-jwt`等库来简化JWT的生成和验证过程。

2.生成JWT:在用户登录成功后,使用用户的认证信息生成JWT。

3.验证JWT:在用户请求需要权限的接口时,验证JWT的有效性。

以下是一个简单的PHP示例:

php

use \Firebase\JWT\JWT;

// 密钥,用于签名和验证JWT$secretKey='your_secret_key';

// 用户登录成功后生成JWT$token=JWT::encode([ 'user_id'=> 123, 'role'=> 'admin'], $secretKey);

// 输出生成的JWTecho $token;

// 验证JWTtry { $decoded=JWT::decode($token, $secretKey, array('HS256')); echo '验证成功:' . $decoded->user_id;} catch (Exception $e) { echo '验证失败:' . $e->getMessage();}?>

注意:在实际应用中,密钥应该保密,并确保JWT的安全性。


要如何用php实现JWT认证,那我们首先就来认识一下什么是JWT。

什么是JWT

JWT(json web token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。
JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。比如用在用户登录上。

JWT定义了一种用于简洁,自包含的用于通信双方之间以 JSON 对象的形式安全传递信息的方法。JWT 可以使用 HMAC 算法或者是 RSA 的公钥密钥对进行签名。

JWT有两个特点:

自包含(Self-contained):负载中包含了所有用户所需要的信息,避免了多次查询数据库

简洁(Compact):可以通过URL, POST 参数或者在 HTTP header 发送,因为数据量小,传输速度快

JWT组成

​JWT由header,payload,signature三个部分​​​​,下面我们用官网的实例先来讲解一个这三个部分的用法。​

​header部分:​

jwt的头部承载两部分信息:

声明类型,这里是jwt

声明加密的算法 通常直接使用 HMAC SHA256

完整的头部就像下面这样的JSON:

{
"alg": "HS256",
"typ": "JWT"
}

对应base64UrlEncode编码为:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9

说明:该字段为json格式。alg字段指定了生成signature的算法,默认值为HS256,typ默认值为JWT

payload部分:

载荷就是存放有效信息的地方。

标准中注册的声明 (建议但不强制使用) :

iss: jwt签发者

sub: jwt所面向的用户

aud: 接收jwt的一方

exp: jwt的过期时间,这个过期时间必须要大于签发时间

PHP如何实现JWT认证以支持长尾词验证?

nbf: 定义在什么时间之前,该jwt都是不可用的

iat: jwt的签发时间

jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放。

{
"sub": "1234567890",
"name": "John Doe",
"iat": 1516239022
}

对应base64UrlEncode编码为:

eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ

说明:该字段为json格式,表明用户身份的数据,可以自己自定义字段,很灵活。sub 面向的用户,name 姓名 ,iat 签发时间。例如可自定义示例如下:

{
"iss": "admin", //该JWT的签发者
"iat": 1535967430, //签发时间
"exp": 1535974630, //过期时间
"nbf": 1535967430, //该时间之前不接收处理该Token
"sub": "www.admin.com", //面向的用户
"jti": "9f10e796726e332cec401c569969e13e" //该Token唯一标识
}

​signature部分:​

jwt的第三部分是一个签证信息,这个签证信息由三部分组成:

  • header (base64后的)
  • payload (base64后的)
  • secret

HMACSHA256(
base64UrlEncode(header) + "." +
base64UrlEncode(payload),
123456
)

对应的签名为:

keH6T3x1z7mmhKL1T3r9sQdAxxdzB6siemGMr_6ZOwU

最终得到的JWT的json为(header.payload.signature):

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.keH6T3x1z7mmhKL1T3r9sQdAxxdzB6siemGMr_6ZOwU

说明:对header和payload进行base64UrlEncode编码后进行拼接。通过key(这里是123456)进行HS256算法签名。

JWT的使用流程

  • 初次登录:用户初次登录,输入用户名密码
  • 密码验证:服务器从数据库取出用户名和密码进行验证
  • 生成JWT:服务器端验证通过,根据从数据库返回的信息,以及预设规则,生成JWT
  • 返还JWT:服务器的HTTP RESPONSE中将JWT返还
  • 带JWT的请求:以后客户端发起请求,HTTP REQUEST
  • HEADER中的Authorizatio字段都要有值,为JWT
  • 服务器验证JWT

PHP如何实现JWT

这里使用的是PHP 7.0.31,我们新建一个文件jwtAuth.php,完整类代码如下:

<?php
/**
* PHP实现jwt
*/
class JwtAuth {

//头部
private static $header=array(
'alg'=>'HS256', //生成signature的算法
'typ'=>'JWT' //类型
);

//使用HMAC生成信息摘要时所使用的密钥
private static $key='root123456';


/**
* 获取jwt token
* @param array $payload jwt载荷 格式如下非必须
* [
* 'iss'=>'jwt_admin', //该JWT的签发者
* 'iat'=>time(), //签发时间
* 'exp'=>time()+7200, //过期时间
* 'nbf'=>time()+60, //该时间之前不接收处理该Token
* 'sub'=>'www.mano100.cn', //面向的用户
* 'jti'=>md5(uniqid('JWT').time()) //该Token唯一标识
* ]
* @return bool|string
*/
public static function getToken(array $payload)
{
if(is_array($payload))
{
$base64header=self::base64UrlEncode(json_encode(self::$header,JSON_UNESCAPED_UNICODE));
$base64payload=self::base64UrlEncode(json_encode($payload,JSON_UNESCAPED_UNICODE));
$token=$base64header.'.'.$base64payload.'.'.self::signature($base64header.'.'.$base64payload,self::$key,self::$header['alg']);
return $token;
}else{
return false;
}
}


/**
* 验证token是否有效,默认验证exp,nbf,iat时间
* @param string $Token 需要验证的token
* @return bool|string
*/
public static function verifyToken(string $Token)
{
$tokens = explode('.', $Token);
if (count($tokens) != 3)
return false;

list($base64header, $base64payload, $sign) = $tokens;

//获取jwt算法
$base64decodeheader = json_decode(self::base64UrlDecode($base64header), JSON_OBJECT_AS_ARRAY);
if (empty($base64decodeheader['alg']))
return false;

//签名验证
if (self::signature($base64header . '.' . $base64payload, self::$key, $base64decodeheader['alg']) !== $sign)
return false;

$payload = json_decode(self::base64UrlDecode($base64payload), JSON_OBJECT_AS_ARRAY);

//签发时间大于当前服务器时间验证失败
if (isset($payload['iat']) && $payload['iat'] > time())
return false;

//过期时间小宇当前服务器时间验证失败
if (isset($payload['exp']) && $payload['exp'] < time())
return false;

//该nbf时间之前不接收处理该Token
if (isset($payload['nbf']) && $payload['nbf'] > time())
return false;

return $payload;
}

/**
* base64UrlEncode jwt.io/ 中base64UrlEncode编码实现
* @param string $input 需要编码的字符串
* @return string
*/
private static function base64UrlEncode(string $input)
{
return str_replace('=', '', strtr(base64_encode($input), '+/', '-_'));
}

/**
* base64UrlEncode jwt.io/ 中base64UrlEncode解码实现
* @param string $input 需要解码的字符串
* @return bool|string
*/
private static function base64UrlDecode(string $input)
{
$remainder = strlen($input) % 4;
if ($remainder) {
$addlen = 4 - $remainder;
$input .= str_repeat('=', $addlen);
}
return base64_decode(strtr($input, '-_', '+/'));
}

/**
* HMACSHA256签名 jwt.io/ 中HMACSHA256签名实现
* @param string $input 为base64UrlEncode(header).".".base64UrlEncode(payload)
* @param string $key
* @param string $alg 算法方式
* @return mixed
*/
private static function signature(string $input, string $key, string $alg = 'HS256')
{
$alg_config=array(
'HS256'=>'sha256'
);
return self::base64UrlEncode(hash_hmac($alg_config[$alg], $input, $key,true));
}
}

这里测试一下

//测试和官网是否匹配begin
$payload=array('sub'=>'1234567890','name'=>'John Doe','iat'=>);
$jwt=new Jwt;
$token=$jwt->getToken($payload);
echo "<pre>";
echo $token;

//对token进行验证签名
$getPayload=$jwt->verifyToken($token);
echo "<br><br>";
var_dump($getPayload);
echo "<br><br>";
//测试和官网是否匹配end


//自己使用测试begin
$payload_test=array('iss'=>'admin','iat'=>time(),'exp'=>time()+7200,'nbf'=>time(),'sub'=>'www.admin.com','jti'=>md5(uniqid('JWT').time()));;
$token_test=Jwt::getToken($payload_test);
echo "<pre>";
echo $token_test;

//对token进行验证签名
$getPayload_test=Jwt::verifyToken($token_test);
echo "<br><br>";
var_dump($getPayload_test);
echo "<br><br>";
//自己使用时候end

标签:PHP实现JWT认证

相关推荐

27410Laravel如何将数据高效地传递给公共模板?27414如何用PHP编写代码抓取特定小说网站的长尾词内容?27421如何封装PHP cURL工具类并应用于实际项目?27423PHP如何实现针对大文件的长尾词切割上传功能?27424PHP如何实现大文件分块上传并展示进度条功能?27433如何通过Referer原理和图片防盗链技术有效防止图片被盗用?27436如何用ThinkPHP框架和Ajax实现用户名校验功能的长尾?27441如何使用JavaScript操作XML中的DTD并介绍其应用方法?27442PHP中常用的日期时间函数有哪些具体应用场景?27444PHP如何编写一个针对长尾关键词的优惠券领取活动示例代码?27448如何用PHP查询最近几天或几个月的数据记录?27453如何安装Windows系统下的PHP Pear?27462PHP如何利用Redis实现长尾词的微博推荐模型?27471Laravel中间件except和only如何使用来排除或仅允许特定路由?27474如何用ThinkPHP、MySQL和Ajax实现长尾词的即时搜索功能?27477PHP命名空间设计思想、用法及缺点如何全面分析?

本文共计2113个文字,预计阅读时间需要9分钟。

PHP如何实现JWT认证以支持长尾词验证?

JWT(JSON Web Token)是为了在网络应用环境之间以安全、高效的方式传递信息而设计的一种基于JSON的开源标准。它是一种开放标准(RFC 7519),用于在各方之间安全地传输信息作为JSON对象。

JWT主要由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。

1. 头部(Header):这部分定义了JWT的算法类型和JWT的类型,通常为`JWT`。

2.载荷(Payload):这部分包含实际需要传输的数据,如用户ID、角色等。载荷中的数据是公开的,任何人都可以验证。

3.签名(Signature):这部分通过将头部、载荷和密钥进行签名算法处理,生成签名。通过验证签名,可以确保JWT在传输过程中未被篡改。

使用PHP实现JWT认证的基本步骤如下:

1. 安装JWT库:可以使用如`php-jwt`等库来简化JWT的生成和验证过程。

2.生成JWT:在用户登录成功后,使用用户的认证信息生成JWT。

3.验证JWT:在用户请求需要权限的接口时,验证JWT的有效性。

以下是一个简单的PHP示例:

php

use \Firebase\JWT\JWT;

// 密钥,用于签名和验证JWT$secretKey='your_secret_key';

// 用户登录成功后生成JWT$token=JWT::encode([ 'user_id'=> 123, 'role'=> 'admin'], $secretKey);

// 输出生成的JWTecho $token;

// 验证JWTtry { $decoded=JWT::decode($token, $secretKey, array('HS256')); echo '验证成功:' . $decoded->user_id;} catch (Exception $e) { echo '验证失败:' . $e->getMessage();}?>

注意:在实际应用中,密钥应该保密,并确保JWT的安全性。


要如何用php实现JWT认证,那我们首先就来认识一下什么是JWT。

什么是JWT

JWT(json web token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。
JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。比如用在用户登录上。

JWT定义了一种用于简洁,自包含的用于通信双方之间以 JSON 对象的形式安全传递信息的方法。JWT 可以使用 HMAC 算法或者是 RSA 的公钥密钥对进行签名。

JWT有两个特点:

自包含(Self-contained):负载中包含了所有用户所需要的信息,避免了多次查询数据库

简洁(Compact):可以通过URL, POST 参数或者在 HTTP header 发送,因为数据量小,传输速度快

JWT组成

​JWT由header,payload,signature三个部分​​​​,下面我们用官网的实例先来讲解一个这三个部分的用法。​

​header部分:​

jwt的头部承载两部分信息:

声明类型,这里是jwt

声明加密的算法 通常直接使用 HMAC SHA256

完整的头部就像下面这样的JSON:

{
"alg": "HS256",
"typ": "JWT"
}

对应base64UrlEncode编码为:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9

说明:该字段为json格式。alg字段指定了生成signature的算法,默认值为HS256,typ默认值为JWT

payload部分:

载荷就是存放有效信息的地方。

标准中注册的声明 (建议但不强制使用) :

iss: jwt签发者

sub: jwt所面向的用户

aud: 接收jwt的一方

exp: jwt的过期时间,这个过期时间必须要大于签发时间

PHP如何实现JWT认证以支持长尾词验证?

nbf: 定义在什么时间之前,该jwt都是不可用的

iat: jwt的签发时间

jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放。

{
"sub": "1234567890",
"name": "John Doe",
"iat": 1516239022
}

对应base64UrlEncode编码为:

eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ

说明:该字段为json格式,表明用户身份的数据,可以自己自定义字段,很灵活。sub 面向的用户,name 姓名 ,iat 签发时间。例如可自定义示例如下:

{
"iss": "admin", //该JWT的签发者
"iat": 1535967430, //签发时间
"exp": 1535974630, //过期时间
"nbf": 1535967430, //该时间之前不接收处理该Token
"sub": "www.admin.com", //面向的用户
"jti": "9f10e796726e332cec401c569969e13e" //该Token唯一标识
}

​signature部分:​

jwt的第三部分是一个签证信息,这个签证信息由三部分组成:

  • header (base64后的)
  • payload (base64后的)
  • secret

HMACSHA256(
base64UrlEncode(header) + "." +
base64UrlEncode(payload),
123456
)

对应的签名为:

keH6T3x1z7mmhKL1T3r9sQdAxxdzB6siemGMr_6ZOwU

最终得到的JWT的json为(header.payload.signature):

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.keH6T3x1z7mmhKL1T3r9sQdAxxdzB6siemGMr_6ZOwU

说明:对header和payload进行base64UrlEncode编码后进行拼接。通过key(这里是123456)进行HS256算法签名。

JWT的使用流程

  • 初次登录:用户初次登录,输入用户名密码
  • 密码验证:服务器从数据库取出用户名和密码进行验证
  • 生成JWT:服务器端验证通过,根据从数据库返回的信息,以及预设规则,生成JWT
  • 返还JWT:服务器的HTTP RESPONSE中将JWT返还
  • 带JWT的请求:以后客户端发起请求,HTTP REQUEST
  • HEADER中的Authorizatio字段都要有值,为JWT
  • 服务器验证JWT

PHP如何实现JWT

这里使用的是PHP 7.0.31,我们新建一个文件jwtAuth.php,完整类代码如下:

<?php
/**
* PHP实现jwt
*/
class JwtAuth {

//头部
private static $header=array(
'alg'=>'HS256', //生成signature的算法
'typ'=>'JWT' //类型
);

//使用HMAC生成信息摘要时所使用的密钥
private static $key='root123456';


/**
* 获取jwt token
* @param array $payload jwt载荷 格式如下非必须
* [
* 'iss'=>'jwt_admin', //该JWT的签发者
* 'iat'=>time(), //签发时间
* 'exp'=>time()+7200, //过期时间
* 'nbf'=>time()+60, //该时间之前不接收处理该Token
* 'sub'=>'www.mano100.cn', //面向的用户
* 'jti'=>md5(uniqid('JWT').time()) //该Token唯一标识
* ]
* @return bool|string
*/
public static function getToken(array $payload)
{
if(is_array($payload))
{
$base64header=self::base64UrlEncode(json_encode(self::$header,JSON_UNESCAPED_UNICODE));
$base64payload=self::base64UrlEncode(json_encode($payload,JSON_UNESCAPED_UNICODE));
$token=$base64header.'.'.$base64payload.'.'.self::signature($base64header.'.'.$base64payload,self::$key,self::$header['alg']);
return $token;
}else{
return false;
}
}


/**
* 验证token是否有效,默认验证exp,nbf,iat时间
* @param string $Token 需要验证的token
* @return bool|string
*/
public static function verifyToken(string $Token)
{
$tokens = explode('.', $Token);
if (count($tokens) != 3)
return false;

list($base64header, $base64payload, $sign) = $tokens;

//获取jwt算法
$base64decodeheader = json_decode(self::base64UrlDecode($base64header), JSON_OBJECT_AS_ARRAY);
if (empty($base64decodeheader['alg']))
return false;

//签名验证
if (self::signature($base64header . '.' . $base64payload, self::$key, $base64decodeheader['alg']) !== $sign)
return false;

$payload = json_decode(self::base64UrlDecode($base64payload), JSON_OBJECT_AS_ARRAY);

//签发时间大于当前服务器时间验证失败
if (isset($payload['iat']) && $payload['iat'] > time())
return false;

//过期时间小宇当前服务器时间验证失败
if (isset($payload['exp']) && $payload['exp'] < time())
return false;

//该nbf时间之前不接收处理该Token
if (isset($payload['nbf']) && $payload['nbf'] > time())
return false;

return $payload;
}

/**
* base64UrlEncode jwt.io/ 中base64UrlEncode编码实现
* @param string $input 需要编码的字符串
* @return string
*/
private static function base64UrlEncode(string $input)
{
return str_replace('=', '', strtr(base64_encode($input), '+/', '-_'));
}

/**
* base64UrlEncode jwt.io/ 中base64UrlEncode解码实现
* @param string $input 需要解码的字符串
* @return bool|string
*/
private static function base64UrlDecode(string $input)
{
$remainder = strlen($input) % 4;
if ($remainder) {
$addlen = 4 - $remainder;
$input .= str_repeat('=', $addlen);
}
return base64_decode(strtr($input, '-_', '+/'));
}

/**
* HMACSHA256签名 jwt.io/ 中HMACSHA256签名实现
* @param string $input 为base64UrlEncode(header).".".base64UrlEncode(payload)
* @param string $key
* @param string $alg 算法方式
* @return mixed
*/
private static function signature(string $input, string $key, string $alg = 'HS256')
{
$alg_config=array(
'HS256'=>'sha256'
);
return self::base64UrlEncode(hash_hmac($alg_config[$alg], $input, $key,true));
}
}

这里测试一下

//测试和官网是否匹配begin
$payload=array('sub'=>'1234567890','name'=>'John Doe','iat'=>);
$jwt=new Jwt;
$token=$jwt->getToken($payload);
echo "<pre>";
echo $token;

//对token进行验证签名
$getPayload=$jwt->verifyToken($token);
echo "<br><br>";
var_dump($getPayload);
echo "<br><br>";
//测试和官网是否匹配end


//自己使用测试begin
$payload_test=array('iss'=>'admin','iat'=>time(),'exp'=>time()+7200,'nbf'=>time(),'sub'=>'www.admin.com','jti'=>md5(uniqid('JWT').time()));;
$token_test=Jwt::getToken($payload_test);
echo "<pre>";
echo $token_test;

//对token进行验证签名
$getPayload_test=Jwt::verifyToken($token_test);
echo "<br><br>";
var_dump($getPayload_test);
echo "<br><br>";
//自己使用时候end