JWT原理 和 tp5使用例子

最新推荐文章于 2025-05-06 15:16:24 发布
最新推荐文章于 2025-05-06 15:16:24 发布
阅读量504 收藏 20
点赞数 13
CC 4.0 BY-SA版权
分类专栏: PHP大学堂 文章标签: php JWT
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/pandamf/article/details/146502287

1.理论 和 简介

1.1  简介

一种客户端 和 服务端的认证机制,让后台知道请求是来自于受信的客户端。

Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。

JWT是由三段信息构成的,将这三段信息文本用  . 链接一起就构成了Jwt字符串。就像这样:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

这三段分别是:

  1. header   头部   ,默认是加密方式是  HS256
  2. playload   载荷  ,放官方字段  ,过期时间 ,私有字段等
  3. signature   签名

头部和载荷都是  通过base64 加密编码而成 , 目的是方便网络传输,减少出错

众所周知base64 是可以解密的,所以一些 诸如密码或银行账户的 敏感的信息尽量不要放在  playload 中传输 

由于现在很多项目都是前后端分离,restful api模式 , 可以说 restful api认证是jwt的一个很好的应用场景

1.2 安全相关

  1. 不应该在jwt的payload部分存放敏感信息,因为该部分是客户端可解密的部分。
  2. 保护好secret私钥,该私钥非常重要。
  3. 如果可以,请使用https协议

1.3 JWT 应用流程

1.4 项目github地址

https://github.com/pandamf0079/tptoken

2. 官网 和 资源下载方式

官网: JSON Web Token Introduction - jwt.io

官网中有各种语言的 github demo连接 ,现在我们使用的是

firebase/php-jwt

3. tp5中使用jwt例子

默认使用HS256 加密的方式 ,首先使用composer安装好依赖

composer require firebase/php-jwt
composer require firebase/php-jwt:"v6.0"
  • 通过用户名和密码来授权中心获得token
  • 将token保存在cookie中,返回到客户端
  • 下次请求携带cookie发送到服务器,服务器解析出用户信息

服务端模型:

namespace app\index\model;

use think\Model;
use Firebase\JWT\ExpiredException;
use Firebase\JWT\JWT as JWTUtil;
use Firebase\JWT\Key;
class User extends Model
{

	protected $jwt_secret_key = '123Abc#$';
	protected $jwt_expire_time = 10;
	
	public   function findUser($username,$pass){
		if($username=='dapeng' && $pass=='123456'){
			return ['user_id'=>10,'username'=>'dapeng','sex'=>1];
		}
	}
	
	public  function createToken($user=[],$exptime=0,$alg='HS256'){
		$key = $this->jwt_secret_key;
		$time = time();
		$expire = $exptime==0?$time+$this->jwt_expire_time:$time+$exptime;
		$payload = [
			$user,
			"iss"=>"PengCompany",
			"aud"=>"dapeng",
			"iat"=>$time,
			"nbf"=>$time,
			"exp"=>$expire
		];
		
		$jwt = JWTUtil::encode($payload,$key,$alg);
		return $jwt; 
	}
	
	
	public function verifyToken($token){
		$key = $this->jwt_secret_key;
		try{
			$jwtAuth = json_encode(JWTUtil::decode($token,new Key($key, 'HS256')));
			$authInfo = json_decode($jwtAuth,true);
			return ['msg'=>'token正常','status'=>1,'data'=>$authInfo[0]];
		}catch(ExpiredException $e){
			return ['msg'=>'token expire','status'=>2,'data'=>[]];
		}catch(\Exception $e){
			return ['msg'=>'token error','status'=>3,'data'=>[$e->getMessage()]];
		}
		
	}
}

需要注意的是过期时间exp 是时间戳,设置在payload里

控制器方法:

public function login(Request $request){
		/*['user_id'=>10,'username'=>'dapeng','sex'=>1]*/
		$username = $request->param('user');
		$pass = $request->param('pass');
		if($username!='' && $pass!=''){
			//数据库查询
			$userModel = new User();
			$users = $userModel->findUser($username,$pass);
			$token = $userModel->createToken($users,3600);
			Cookie::set('jwt',$token,3600);
			$this->success('登录成功','/ucenter');
			//return $token;
			
		}else{
			$this->error('用户名密码不能为空');
		}
	}
	
	
	public function getinfo(Request $request){
		
		$header = Request::instance()->header();
		if ($header['authorization'] == 'null'){
			echo json_encode([
                'status' => 1002,
                'msg' => 'token不存在,拒绝访问'
            ]);
            exit;
		}else{
			
			$userModel = new User();
			echo json_encode($userModel->verifyToken($header['authorization']));
			exit();
		}
		
	}

接收头部 authorization 的token  并认证

客户端:

<script>
$(document).ready(function(){
	var token = getCookie('jwt');
	//alert(token);
	$.ajax({
		url:'http://www.pengcms.com/getinfo',
		type:'POST',
		headers:{
			'Authorization':token
		},
		dataType: "json",
		success:function(res) {
			//console.log(res);
			var sex ='';
		  	$("#id1").html(res.data.user_id);
			$("#id2").html(res.data.username);
			if(res.data.sex==1){
				sex = '男';
			}else{
				sex = '女';
			}
			$("#id3").html(sex);
		}
	});
			
})

function getCookie(name)
{
	var arr,reg=new RegExp("(^| )"+name+"=([^;]*)(;|$)");
	if(arr=document.cookie.match(reg))
		return unescape(arr[2]);
	else
		return null;
}

取cookie ,发送到服务端认证。

4. tp5中使用jwt例子 (使用RS256  openssl)

使用openssl工具:

openssl>  genrsa -out rsa_private_key.pem 1024
openssl>  rsa -in rsa_private_key.pem -pubout -out rsa_public_key.pem

和上面不同的是模型层不一样

	public  function createToken($user=[],$exptime=0,$alg='RS256'){
		$private_key = file_get_contents("./keys/rsa_private_key.pem");
		if(openssl_pkey_get_private($private_key)){
			$time = time();
			$expire = $exptime==0?$time+$this->jwt_expire_time:$time+$exptime;
			$payload = [
				$user,
				"iss"=>"PengCompany",//签发组织
				"aud"=>"dapeng",//签发作者
				"iat"=>$time,
				"nbf"=>$time,
				"exp"=>$expire
			];
			//设置过期时间
			//JWTUtil::$leeway = 10;
			$jwt = JWTUtil::encode($payload,$private_key,$alg);
			return $jwt;
			 
		}else{
			return false;
		}
	
	}
	
	
	public function verifyToken($token){
		$public_key = file_get_contents("./keys/rsa_public_key.pem");
		try{
			$jwtAuth = json_encode(JWTUtil::decode($token,new Key($public_key, 'RS256')));
			$authInfo = json_decode($jwtAuth,true);
			return ['msg'=>'token正常','status'=>1,'data'=>$authInfo[0]];
		}catch(ExpiredException $e){
			return ['msg'=>'token expire','status'=>2,'data'=>[]];
		}catch(\Exception $e){
			return ['msg'=>'token error','status'=>3,'data'=>[$e->getMessage()]];
		}
		
	}

5.参考

git地址:https://github.com/firebase/php-jwt

原理:什么是 JWT -- JSON WEB TOKEN - 简书

jwt封装
gudu_zhang的博客
08-05 297
jwt组件安装 composer require lcobucci/jwt 3.3 jwt封装 <?php namespace tools\jwt; //命名空间 use Lcobucci\JWT\Builder; use Lcobucci\JWT\Parser; use Lcobucci\JWT\Signer\Hmac\Sha256; use Lcobucci\JWT\ValidationData; /** * Created by PhpStorm. * User:
tp5.1实现php-jwt
qq_40787608的博客
03-05 887
1、生成token public function createToken() { $key = "123456";//加密使用的key,相当于盐值salt $user = [ 'name'=>"苦逼的PHP", 'password'=>'123456', 'describe'=>'PHP是世界上最好的語言', 'maxim'=>'你除了增删改查还会
PHP token验证
lmy2020start的博客
05-28 506
标题 PHP token验证 composer下载 composer require lcobucci/jwt 2.读入数据 代码如下(示例): data = pd.read_csv( 'https://labfile.oss.aliyuncs.com/courses/1283/adult.data.csv') print(data.head()) 该处使用的url网络请求的数据。 总结 提示:这里对文章进行总结: 例如:以上就是今天要讲的内容,本文仅仅简单介绍了pandas的使用,而pand
分享一个TP框架的JWT的简单方法 很简单
qq_56816632的博客
05-06 141
以上两个步骤完成了JWT的封装 为了安全起见 可以在加密一层 对JWT进行加密。OK 这样应该是很安全了 如果有更好的意见欢迎提出。
tp5实现JWT登录
weixin_47887817的博客
06-08 946
1.安装依赖 composerrequirefirebase/php-jwt 2.获取token的方法(校验用户输入的用户名密码正确后调用,生成token) functiongetToken($id,$access,$account_name,$username) { $key=config('salt'); //在配置文件中配置salt的值 $token=[ "iss"=>"",//签发者可以为空 "aud"=>"",//面...
tp5.0使用JWT完成token认证技术
SunNang的博客
10-14 822
1、安装 composer require firebase/php-jwt 2、封装(在框架根目录extend下新建Token.php) <?php use Firebase\JWT\JWT; class Token { const SECRET = 'hello';//密钥 //创建token static public function create_token($uid = 1) { $payload = [ 'i...
在Gin中使用JWT做认证以及JWT的续签方案
Monkey_D_Newdun的博客
01-31 3356
记录了一下在Gin中简单的使用JWT,并且想了一个简单的Token续签方案,不需要服务端保存Token的状态,前端也不需要过多的配合
thinkphp6 集成JWT
qq_62874327的博客
12-22 544
thinkphp6 使用JWT生成token 进行验证
TP8如何通过中间件验证token的有效性?
最新发布
07-17
参考引用[2]提到JWT原理:服务器不保存用户信息,通过密钥验证Token。因此,我们只需要在验证时使用相同的密钥即可。 另外,参考引用[3][^3]引用[4][^4]中提到了在ThinkPHP3.2中验证微信Token时使用了`ob_...
Kafka集群多用户访问权限分治消息共享配置指导
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
04-24 3260
这明显在生产环境,这种认证方式时不符合实际业务场景的。allow.everyone.if.no.acl.found=true #false的话就只能超级用户才能访问资源,true的话其他也可以,如果用户读写一个 Topic,但是没有配置 ACL 权限,客户端会报认证失败错误。现场业务由于多厂商集成,共享数据需要,需对接当前kafka集群,为做到类似租户隔离的功能,需要开启kafka的权限控制动态用户管理功能,实现不同厂商访问被授权的合法资源,消费者账号只能消费数据,生产者账号只能生产数据。
ILITek TP安全编程:防范常见安全威胁:构建安全的编程环境
通过分析安全编程环境的理论基础与实践案例,本文着重讲解了在编程过程中如何识别预防SQL注入、跨站脚本攻击跨站请求伪造等常见安全威胁。同时,文章也探讨了加密解密技术、身份验证授权以及错
ThinkPHP5框架中使用JWT的方法示例
12-17
本文实例讲述了ThinkPHP5框架中使用JWT的方法。分享给大家供大家参考,具体如下: JWT下载地址:https://jwt.io 可以直接去github上下载,也可以使用composer 使用composer的话要确保你的电脑上安装了composer,进入项目根目录下载即了,自动会放在vendor目录下 创建文件 我是放在common目录下 使用教程 github都有的 贴源码 JWTAuth.php <?php namespace app\common\Auth; use \Lcobucci\JWT\Builder; use \Lcobucci\JWT\Signer\Hmac\Sh
TP5.1使用JWT进行Token令牌生成与验证
Sol的博客
08-05 9289
传统互联网项目在实现保持登录状态、退出登录、接口请求等功能时会使用Session,但是众所周知Session数据在产生后会存储与服务器端,所以当用户量达到一定程度会相应影响到服务器的性能,且Session在前后端分离的项目中或是多服务器项目中的支持不是很好。但是Token不会产生这些问题,服务器端对Token只有生成验证操作,不会存放数据,针对前后端分离的项目,包括手机APP当前热门的小程序的...
tp5 JWT生成token验证接口安全、防止高频请求
孤单的时候狗作陪!的博客
12-30 3191
1.composer安装 jwt composer require lcobucci/jwt 3.3 2.在extend/tools/jwt目录下创建Token.php文件 注意 extend目录下tools/jwt目录没有需要自己创建 <?php namespace tools\jwt; use Lcobucci\JWT\Builder; use Lcobucci\JWT\Parser; use Lcobucci\JWT\Signer\Hmac\Sha256; use Lcob
Tp5基于JWT的权限认证及封装Token类
君子如玉的博客
06-02 1407
1、composer安装JWT github地址:https://github.com/firebase/php-jwt composer require firebase/php-jwt 2、生成token $objToken = new \Token(); $token_data = [ 'user_id' => $user_info['id'], .
tp5使用jwt生成token,引入jwt的两种方法
编程算啥事(公总号)的博客
12-18 2023
tp5使用jwt生成token,引入jwt的两种方法 一、使用composer引入 1、先安装对应插件 github:https://github.com/firebase/php-jwt composer require firebase/php-jwt 2、在代码中引入 示例:common.php use Firebase\JWT\JWT; //生成验签 function signToke...
tp5 生成token 验证token 解密token
张子航的博客
05-22 3695
生成Token /** * 创建 token * @param array $data 必填 自定义参数数组 * @param integer $exp_time 必填 token过期时间 单位:秒 例子:7200=2小时 * @param string $scopes 选填 token标识,请求接口的token * @return string */ public function createToken($data = "", $ex
tp5使用jwt生成token,做api的用户认证
编程算啥事(公总号)的博客
12-17 1492
tp5使用jwt生成token,做api的用户认证(亲测通过) 一、首先 composer 安装 firebase/php-jwt github:https://github.com/firebase/php-jwt composer require firebase/php-jwt 二、使用 当用户登录时,如果有 token 并且没有过期,则得到用户信息,如果 token过期,或者是新用户,...
tp5使用jwt
05-25
TP5使用JWT(Json Web Token),可以通过引入第三方库 `firebase/php-jwt` 来实现。具体步骤如下: 1. 使用 Composer 安装 `firebase/php-jwt` 库: ``` composer require firebase/php-jwt ``` 2. 在 `config` 目录下创建 `jwt.php` 配置文件,配置 JWT 的加密算法、密钥等信息,例如: ```php <?php return [ // 加密算法 'alg' => 'HS256', // 密钥 'key' => 'your_secret_key', // 过期时间(单位:秒) 'exp' => 3600, ]; ``` 3. 在需要使用 JWT 的控制器中,引入 `firebase/php-jwt` 库,通过 `jwt_encode` 函数生成 JWT token,例如: ```php <?php namespace app\index\controller; use Firebase\JWT\JWT; class Index { public function login() { $user = [ 'id' => 1, 'username' => 'test', ]; $jwt = JWT::encode($user, config('jwt.key'), config('jwt.alg')); return json(['token' => $jwt]); } } ``` 4. 在需要验证 JWT 的接口中,通过 `jwt_decode` 函数验证 JWT token,例如: ```php <?php namespace app\index\controller; use Firebase\JWT\JWT; class Index { public function profile() { $token = request()->header('Authorization'); if (!$token) { return json(['code' => 401, 'msg' => 'Unauthorized']); } try { $decoded = JWT::decode($token, config('jwt.key'), [config('jwt.alg')]); return json(['user' => $decoded]); } catch (\Firebase\JWT\ExpiredException $e) { return json(['code' => 401, 'msg' => 'Token expired']); } catch (\Exception $e) { return json(['code' => 401, 'msg' => 'Invalid token']); } } } ``` 以上就是在TP5使用JWT的基本步骤。需要注意的是,JWT是无状态的,每次请求都需要携带 token 进行验证。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

程序猿John

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值