前段时间听朋友讲起 jwt鉴权,博主我是一脸懵逼,通过朋友坚持不懈的讲解,我终于听懂了,jwt就是登陆token校验嘛

  然而事情并不是博主想象的那么简单,在一个艳阳高照,晴空万里的夜晚,博主手贱百度了一波jwt,才发现问题所在之处

  首先:我的登录token校验逻辑

      用户输入账号密码登录,账号密码校验正确,生成一个随机拼接的token,返回给前端,并存储到数据库中,然后根据前端发送的token和数据库的token对比,从而达到校验效果

      (缺点,token永不过期,如果设置了定时清空所有token,用户体验极差)

  百度上大佬们的博客讲解jwt鉴权的校验逻辑

      用户输入账号密码登录,账号密码校验正确,使用n个数据(详情看后面的代码)组成的数组,进行加密生成字符串,拼接上加密算法名称类型加密的字符串,自己设置

    的秘钥加前面两个数据再进行加密拼接,于是乎就组成了一个token,并返回,服务端并不存储任何数据

      生成token的示例 :  aaa.bbb.ccc        (加密后的数据a+ . +加密后的数据b+ . +(加密(加密前的数据a+加密前的数据b+秘钥)))

      当用户用token发起请求的时候,服务端则会拿到token,解密再进行校验,token的有效时间是否过期什么的

 下面附上代码:

   

<?php

/**

 * PHP实现jwt

 */

class Jwt {

    //头部

    private static $header=array(

        'alg'=>'HS256', //生成signature的算法

        'typ'=>'JWT'    //类型

    );

    //使用HMAC生成信息摘要时所使用的密钥

    private static $key='123456';

    /**

     * 生成jwt token

     * @param array $payload jwt载荷   格式如下非必须(可自定义)

     * [

     *  'iss'=>'jwt_admin',  //请求生成token的用户

     *  'iat'=>time(),  //生成时间

     *  'exp'=>time()+7200,  //过期时间

     *  'nbf'=>time()+60,  //生成token  60秒后方可使用

     *  'sub'=>'www.admin.com',  //服务端网址

     *  'jti'=>md5(uniqid('JWT').time())  //该Token唯一标识

     * ]

     * @return bool|string

     */

    public static function getToken($payload)

    {

        if(is_array($payload))

        {

            $base64header=self::base64UrlEncode(json_encode(self::$header,JSON_UNESCAPED_UNICODE));

            $base64payload=self::base64UrlEncode(json_encode($payload,JSON_UNESCAPED_UNICODE));

            $token=$base64header.'.'.$base64payload.'.'.self::signature($base64header.'.'.$base64payload,self::$key,self::$header['alg']);

            return $token;

        }else{

            return false;

        }

    }

    /**

     * 验证token是否有效,默认验证exp,nbf,iat时间

     * @param string $Token 需要验证的token

     * @return bool|string

     */

    public static function verifyToken($Token)

    {

        $tokens = explode('.', $Token);

        if (count($tokens) != 3)

            return false;

        list($base64header, $base64payload, $sign) = $tokens;

        //获取jwt算法

        $base64decodeheader = json_decode(self::base64UrlDecode($base64header), JSON_OBJECT_AS_ARRAY);

        if (empty($base64decodeheader['alg']))

            return false;

        //签名验证

        if (self::signature($base64header . '.' . $base64payload, self::$key, $base64decodeheader['alg']) !== $sign)

            return false;

        $payload = json_decode(self::base64UrlDecode($base64payload), JSON_OBJECT_AS_ARRAY);

        //签发时间大于当前服务器时间验证失败

        if (isset($payload['iat']) && $payload['iat'] > time())

            return false;

        //过期时间小宇当前服务器时间验证失败

        if (isset($payload['exp']) && $payload['exp'] < time())

            return false;

        //该nbf时间之前不接收处理该Token

        if (isset($payload['nbf']) && $payload['nbf'] > time())

            return false;

        return $payload;

    }

    /**

     * base64UrlEncode   https://jwt.io/  中base64UrlEncode编码实现

     * @param string $input 需要编码的字符串

     * @return string

     */

    private static function base64UrlEncode($input)

    {

        return str_replace('=', '', strtr(base64_encode($input), '+/', '-_'));

    }

    /**

     * base64UrlEncode  https://jwt.io/  中base64UrlEncode解码实现

     * @param string $input 需要解码的字符串

     * @return bool|string

     */

    private static function base64UrlDecode($input)

    {

        $remainder = strlen($input) % 4;

        if ($remainder) {

            $addlen = 4 - $remainder;

            $input .= str_repeat('=', $addlen);

        }

        return base64_decode(strtr($input, '-_', '+/'));

    }

    /**

     * HMACSHA256签名   https://jwt.io/  中HMACSHA256签名实现

     * @param string $input 为base64UrlEncode(header).".".base64UrlEncode(payload)

     * @param string $key

     * @param string $alg   算法方式

     * @return mixed

     */

    private static function signature($input, $key, $alg = 'HS256')

    {

        $alg_config=array(

            'HS256'=>'sha256'

        );

        return self::base64UrlEncode(hash_hmac($alg_config[$alg], $input, $key,true));

    }

}

    //例子一

    //生成token

    $payload=array('sub'=>'1234567890','name'=>'John Doe','iat'=>1516239022);

    $jwt=new Jwt;

    $token=$jwt->getToken($payload);

    echo "<pre>";

    echo $token;

    //生成的token

    // eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.keH6T3x1z7mmhKL1T3r9sQdAxxdzB6siemGMr_6ZOwU

    //校验token

    $getPayload=$jwt->verifyToken($token);

    echo "<br><br>";

    var_dump($getPayload);

    echo "<br><br>";

    //解密后的返回值

    //    array(3) {

    //        ["sub"]=>

    //      string(10) "1234567890"

    //        ["name"]=>

    //      string(8) "John Doe"

    //        ["iat"]=>

    //      int(1516239022)

    //    }

    //例子二

    //生成token

    $payload_test=array('iss'=>'admin','iat'=>time(),'exp'=>time()+7200,'nbf'=>time(),'sub'=>'www.admin.com','jti'=>md5(uniqid('JWT').time()));;

    $token_test=Jwt::getToken($payload_test);

    echo "<pre>";

    echo $token_test;

    //  生成的token值

    //  eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJhZG1pbiIsImlhdCI6MTU4Mzk4MTc2NywiZXhwIjoxNTgzOTg4OTY3LCJuYmYiOjE1ODM5ODE3NjcsInN1YiI6Ind3dy5hZG1pbi5jb20iLCJqdGkiOiJhMzdiOTRlZTc5YzE2ZDI2YTA1NWY3OGI2Mzg0M2YwOSJ9.RyHdg5lTsnquY0G_q053DtR5FnSbBrU_GdY_j3GPLcs

    //校验token

    $getPayload_test=Jwt::verifyToken($token_test);

    echo "<br><br>";

    var_dump($getPayload_test);

    echo "<br><br>";

    //解密后的返回值

    //    array(6) {

    //        ["iss"]=>

    //      string(5) "admin"

    //        ["iat"]=>

    //      int(1583981767)

    //      ["exp"]=>

    //      int(1583988967)

    //      ["nbf"]=>

    //      int(1583981767)

    //      ["sub"]=>

    //      string(13) "www.admin.com"

    //        ["jti"]=>

    //      string(32) "a37b94ee79c16d26a055f78b63843f09"

    //    }

原文地址:https://blog.csdn.net/qq_33858250/article/details/89419869

jwt鉴权学习 (php示例代码)的更多相关文章

  1. HTTP基本认证和JWT鉴权

    一.HTTP基本认证 Basic Authentication——当浏览器访问使用基本认证的网站的时候, 浏览器会提示你输入用户名和密码. http auth的过程: · 客户端发送http请求 ·  ...

  2. Spring Boot 鉴权之—— JWT 鉴权

    第一:什么是JWT鉴权 1. JWT即JSON Web Tokens,是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519),他可以用来安全的传递信息,因为传递的信息是 ...

  3. JWT鉴权

    一.HTTP基本认证 Basic Authentication--当浏览器访问使用基本认证的网站的时候, 浏览器会提示你输入用户名和密码. http auth的过程: 客户端发送http请求 服务器发 ...

  4. springboot oauth 鉴权之——password鉴权相当于jwt鉴权模式

    近期一直在研究鉴权方面的各种案例,这几天有空,写一波总结及经验. 第一步:什么是 OAuth鉴权 OAuth2是工业标准的授权协议.OAuth2取代了在2006创建的原始OAuthTM协议所做的工作. ...

  5. 通俗化讲解JWT鉴权的使用场景及结构安全

    一.基于Session的应用开发的缺陷 在我们传统的B\S应用开发方式中,都是使用session进行状态管理的,比如说:保存登录.用户.权限等状态信息.这种方式的原理大致如下: 用户登陆之后,将状态信 ...

  6. 密码加密与微服务鉴权JWT

    博客学习目标 1.用户注册时候,对数据库中用户的密码进行加密存储(使用 SpringSecurity). 2.使用 JWT 鉴权认证. 一.BCrypt 密码加密 1.常见的加密方式 任何应用考虑到安 ...

  7. shiro jwt 构建无状态分布式鉴权体系

    一:JWT 1.令牌构造 JWT(json web token)是可在网络上传输的用于声明某种主张的令牌(token),以JSON 对象为载体的轻量级开放标准(RFC 7519). 一个JWT令牌的定 ...

  8. 「快学springboot」集成Spring Security实现鉴权功能

    Spring Security介绍 Spring Security是Spring全家桶中的处理身份和权限问题的一员.Spring Security可以根据使用者的需要定制相关的角色身份和身份所具有的权 ...

  9. 基于SpringAop的鉴权功能

    什么是 AOP 首先我们先了解一下什么是AOP,AOP(Aspect Orient Programming),直译过来就是面向切面编程.AOP是一种编程思想,是面向对象编程(OOP)的一种补充.面向对 ...

随机推荐

  1. Mybatis项目搭建

    MyBatis是一个优秀的持久层框架.原生的jdbc操作存在大量的重复性代码(如注册驱动,创建连接,创建statement,结果集检测等).框架的作用就是把这些繁琐的代码封装. MyBatis通过XM ...

  2. ERP应收应付的操作与设计--开源软件诞生21

    赤龙ERP应收应付讲解--第21篇 用日志记录"开源软件"的诞生 [点亮星标]----祈盼着一个鼓励 博主开源地址: 码云:https://gitee.com/redragon/r ...

  3. D. New Year Santa Network 解析(思維、DFS、組合、樹狀DP)

    Codeforce 500 D. New Year Santa Network 解析(思維.DFS.組合.樹狀DP) 今天我們來看看CF500D 題目連結 題目 給你一棵有邊權的樹,求現在隨機取\(3 ...

  4. 云计算管理平台之OpenStack计算服务nova

    一.nova简介 nova是openstack中的计算服务,其主要作用是帮助我们在计算节点上管理虚拟机的核心服务:这里的计算节点就是指用于提供运行虚拟机实例的主机,通常像这种计算节点有很多台,那么虚拟 ...

  5. SQL Server 列存储索引 第三篇:维护

    列存储索引分为两种类型:聚集的列存储索引和非聚集的列存储索引,在一个表上只能创建一个聚集索引,要么是聚集的列存储索引,要么是聚集的行存储索引,然而一个表上可以创建多个非聚集索引. 一,创建列存储索引 ...

  6. vue-打包遇到的问题

    vue-打包 打包后用iframe引入的html文件乱码 原因: 解决:用live server打开就不会乱码 生产环境移除所有的console命令 三种解决方法 发现vue-cli3.0在打包过程中 ...

  7. 学会这些CSS,再也不用切图!!!

    三角形 利用border-color支持transparent这一特性,隐藏三条边框,实现三角形. <style> .triangle { width: 0; height: 0; bor ...

  8. LoRaWAN和LoRa的区别在那里?

    有很多人都分不清楚LoRaWAN和LoRa到底有什么区别,甚至有人认为它们是一样的,但其实这两个不一样的. LoRa是一个物理层的协议,而LoRaWAN则指的是MAC层的组网协议.虽然现有的LoRaW ...

  9. python实现银行系统模拟程序

    银行系统模拟程序 关注公众号"轻松学编程"了解更多. 1.概述 ​ 使用面向对象思想模拟一个简单的银行系统,具备的功能:管理员登录/注销.用户开户.登录.找回密码.挂失.改密.查询 ...

  10. Django之富文本(获取内容,设置内容)

    富文本 1.Rich Text Format(RTF) 微软开发的跨平台文档格式,大多数的文字处理软件都能读取和保存RTF文档,其实就是可以添加样式的文档,和HTML有很多相似的地方 图示 2.tin ...