摘要:基于的身份驗證可以替代傳統的身份驗證方法。該所面向的用戶非必須。。你也可以簡單的使用,比如簡單的方式。經過和就可得到組成部分將和使用中指定的加密算法加密,當然加密過程還需要自定秘鑰,自己選一個字符串就可以了。
解釋一下JWT
JWT就是一個字符串,經過加密處理與校驗處理的字符串,由三個部分組成。基于token的身份驗證可以替代傳統的cookie+session身份驗證方法。三個部分分別如下:
header.payload.signatureheader部分組成
header 格式為:
{ "typ":"JWT", "alg":"HS256" }
這就是一個json串,兩個字段都是必須的,alg字段指定了生成signature的算法,默認值為 HS256,可以自己指定其他的加密算法,如RSA.經過base64encode就可以得到 header.
payload 部分組成playload 基本組成部分:
簡單點:
$payload=[ "iss" => $issuer, //簽發者 "iat" => $_SERVER["REQUEST_TIME"], //什么時候簽發的 "exp" => $_SERVER["REQUEST_TIME"] + 7200 //過期時間 "uid"=>1111 ];
復雜點:官方說法,三個部分組成(Reserved claims,Public claims,Private claims)
$token = [ #非必須。issuer 請求實體,可以是發起請求的用戶的信息,也可是jwt的簽發者。 "iss" => "http://example.org", #非必須。issued at。 token創建時間,unix時間戳格式 "iat" => $_SERVER["REQUEST_TIME"], #非必須。expire 指定token的生命周期。unix時間戳格式 "exp" => $_SERVER["REQUEST_TIME"] + 7200, #非必須。接收該JWT的一方。 "aud" => "http://example.com", #非必須。該JWT所面向的用戶 "sub" => "jrocket@example.com", # 非必須。not before。如果當前時間在nbf里的時間之前,則Token不被接受;一般都會留一些余地,比如幾分鐘。 "nbf" => 1357000000, # 非必須。JWT ID。針對當前token的唯一標識 "jti" => "222we", # 自定義字段 "GivenName" => "Jonny", # 自定義字段 "name" => "Rocket", # 自定義字段 "Email" => "jrocket@example.com", ];
payload 也是一個json數據,是表明用戶身份的數據,可以自己自定義字段,很靈活。你也可以簡單的使用,比如簡單的方式。經過json_encode和base64_encode就可得到payload
signature組成部分將 header和 payload使用header中指定的加密算法加密,當然加密過程還需要自定秘鑰,自己選一個字符串就可以了。
官網實例:
HMACSHA256( base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)
自己使用:
"JWT", "alg" => $alg])) . "." . self::urlsafeB64Encode(json_encode($payload)); return $jwt . "." . self::signature($jwt, $key, $alg); } public static function signature(string $input, string $key, string $alg) { return hash_hmac($alg, $input, $key); }
這三個部分使用.連接起來就是高大上的JWT,然后就可以使用了.
JWT使用流程 官方使用流程說明:
翻譯一下:
初次登錄:用戶初次登錄,輸入用戶名密碼
密碼驗證:服務器從數據庫取出用戶名和密碼進行驗證
生成JWT:服務器端驗證通過,根據從數據庫返回的信息,以及預設規則,生成JWT
返還JWT:服務器的HTTP RESPONSE中將JWT返還
帶JWT的請求:以后客戶端發起請求,HTTP REQUEST HEADER中的Authorizatio字段都要有值,為JWT
JWT 驗證過程因為自己寫的,沒有使用框架,所以還是得簡單記錄一下驗證過程
客戶端在請求頭中帶有JWT信息,后端獲取$_SERVER[HTTP_AUTHORIZATION]:
不過注意一點,我這個Authorization沒有加Bearer,官方使用中就使用了Bearer,你也可以自己使用:
Authorization: Bearer
php 驗證偽代碼:
$time) return false; if (isset($payload["exp"]) && $payload["exp"] < $time) return false; return $payload; } public static function urlsafeB64Decode(string $input) { $remainder = strlen($input) % 4; if ($remainder) { $padlen = 4 - $remainder; $input .= str_repeat("=", $padlen); } return base64_decode(strtr($input, "-_", "+/")); } public static function urlsafeB64Encode(string $input) { return str_replace("=", "", strtr(base64_encode($input), "+/", "-_")); }
參考文章:
https://jwt.io/introduction/
http://www.cnblogs.com/zjutzz...
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/23152.html
摘要:今天我們來結合實例給大家講述的實戰應用,就是如何使用前端與后端實現用戶登錄鑒權認證的過程。只用了一個串,建立前后端的驗證的數據傳遞,實現了有效的登錄鑒權過程。 今天我們來結合實例給大家講述JWT(Json Web Token)的實戰應用,就是如何使用前端Axios與后端PHP實現用戶登錄鑒權認證的過程。 文中涉及的重要知識點: axios異步請求:axios-基于Promise的HTT...
摘要:是為了在網絡應用環境間傳遞聲明而執行的一種基于的開放標準該被設計為緊湊且安全的,特別適用于分布式站點的單點登錄場景。這也意味著限制了應用的擴展能力。 Json web token (JWT), 是為了在網絡應用環境間傳遞聲明而執行的一種基于JSON的開放標準((RFC 7519).該token被設計為緊湊且安全的,特別適用于分布式站點的單點登錄(SSO)場景。JWT的聲明一般被用來在身...
摘要:當使用一個時,其中一個挑戰就是認證。在傳統的應用中,服務端成功的返回一個響應依賴于兩件事。通常包括將發送的憑證與存儲的憑證進行檢查。第一種是使用請求來通過驗證,使服務端發送帶有的響應。 做了這么長時間的web開發,從JAVA EE中的jsf,spring,hibernate框架,到spring web MVC,到用php框架thinkPHP,到現在的nodejs,我自己的看法是越來越喜...
摘要:的安全性不好,攻擊者可以通過獲取本地進行欺騙或者利用進行攻擊。 好久沒寫博客了,因為最近公司要求我學spring cloud ,早點將以前軟件遷移到新的架構上。所以我那個拼命的學吶,總是圖快,很多關鍵的筆記沒有做好記錄,現在又遺忘了很多關鍵的技術點,極其罪惡! 現在想一想,還是踏踏實實的走比較好。這不,今天我冒了個泡,來補一補前面我所學所忘的知識點。 想要解鎖更多新姿勢?請訪問我的博客...
閱讀 2947·2023-04-25 22:16
閱讀 2093·2021-10-11 11:11
閱讀 3248·2019-08-29 13:26
閱讀 593·2019-08-29 12:32
閱讀 3410·2019-08-26 11:49
閱讀 2988·2019-08-26 10:30
閱讀 1939·2019-08-23 17:59
閱讀 1507·2019-08-23 17:57