以往,没有做过前后端分离的项目之前,都是服务器渲染的模板,然后用cookie和session进行账号的权限验证或者是登录状态的管理。后来接触了vue和小程序之后,在进行前后端分离的时候,就会遇到权限验证和登录会话保存。因为HTTP协议是开放的,可以任人调用。所以,如果接口不希望被随意调用,就需要做访问权限的控制,认证是好的用户,才允许调用API。

JWT优点

1:服务端不需要保存传统会话信息,没有跨域传输问题,减小服务器开销。

2:jwt构成简单,占用很少的字节,便于传输。

3:json格式通用,不同语言之间都可以使用。

jwt由三部分组成:

头部(header) 载荷(payload) 包含一些定义信息和自定义信息 签证(signature)

所以这里就会用到bearer的令牌访问,就是jwt;定义:为了验证使用者的身份,需要客户端向服务器端提供一个可靠的验证信息,称为Token,这个token通常由Json数据格式组成,通过hash散列算法生成一个字符串,所以称为Json Web Token(Json表示令牌的原始值是一个Json格式的数据,web表示是在互联网传播的,token表示令牌,简称JWT)

首先我们从GitHub处用composer require firebase/php-jwt下载firebase/php-jwt,怎么用composer我就不累述了,我过去的文章里面有安装教程。

安装好了之后,我们可以新建一个user控制来测试代码的完整性,首先我们创建三个控制方法

Base.php

基础控制器base.php主要是用来验证每次接受请求的时候,验证http请求头里面是否携带了token,如何将token放到请求头里面,这个前端会做的了。

<?php

/**

 * Created by PhpStorm.

 * User: nobita

 * Date: 2/15

 * Time: 14:55

 */

namespace app\user\controller;

use think\Request;

use Firebase\JWT\JWT;

use think\Controller;

class Base extends Controller

{

    public function _initialize()

    {

        parent::_initialize();

        $this->checkToken();

    }

    public function checkToken()

    {

        $header = Request::instance()->header();

        if ($header['authorization'] == 'null'){

            echo json_encode([

                'status' => 1002,

                'msg' => 'Token不存在,拒绝访问'

            ]);

            exit;

        }else{

            $checkJwtToken = $this->verifyJwt($header['authorization']);

            if ($checkJwtToken['status'] == 1001) {

                return true;

            }

        }

    }

    //校验jwt权限API

    protected function verifyJwt($jwt)

    {

        $key = md5('nobita');

        // JWT::$leeway = 3;

        try {

            $jwtAuth = json_encode(JWT::decode($jwt, $key, array('HS256')));

            $authInfo = json_decode($jwtAuth, true);

            $msg = [];

            if (!empty($authInfo['user_id'])) {

                $msg = [

                    'status' => 1001,

                    'msg' => 'Token验证通过'

                ];

            } else {

                $msg = [

                    'status' => 1002,

                    'msg' => 'Token验证不通过,用户不存在'

                ];

            }

            return $msg;

        } catch (\Firebase\JWT\SignatureInvalidException $e) {

            echo json_encode([

                'status' => 1002,

                'msg' => 'Token无效'

            ]);

            exit;

        } catch (\Firebase\JWT\ExpiredException $e) {

            echo json_encode([

                'status' => 1003,

                'msg' => 'Token过期'

            ]);

            exit;

        } catch (Exception $e) {

            return $e;

        }

    }

}

Login.php

登录控制器,只要是用来验证用户输入的账号密码是否匹配数据库的信息,如果匹配的话,就申请token,并且返回token给前端储存在本地,每次请求的时候把token假如到请求头里面

<?php

/**

 * Created by PhpStorm.

 * User: nobita

 * Date: 2/15

 * Time: 14:55

 */

namespace app\user\controller;

use app\common\model\nobita\Test as TestModel;

use Firebase\JWT\JWT;

class Login

{

    public function index()

    {

        $data = input('post.');

        $username = htmlspecialchars($data['username']);

        $password = htmlspecialchars($data['password']);

        $user = TestModel::where('username', $username)->find();

        if (!empty($user)) {

            if ($username === $user['username'] && $password === $user['password']) {

                $msg = [

                    'status' => 1001,

                    'msg' => '登录成功',

                    'jwt' => self::createJwt($user['id'])

                ];

                return $msg;

            } else {

                return [

                    'status' => 1002,

                    'msg' => '账号密码错误'

                ];

            }

        } else {

            return [

                'status' => 1002,

                'msg' => '请输入账号密码'

            ];

        }

    }

    public function createJwt($userId)

    {

        $key = md5('nobita'); //jwt的签发密钥,验证token的时候需要用到

        $time = time(); //签发时间

        $expire = $time + 14400; //过期时间

        $token = array(

            "user_id" => $userId,

            "iss" => "https://199508.com",//签发组织

            "aud" => "https://199508.com", //签发作者

            "iat" => $time,

            "nbf" => $time,

            "exp" => $expire

        );

        $jwt = JWT::encode($token, $key);

        return $jwt;

    }

}

User.php

用来验证代码的完整性

<?php

/**

 * Created by PhpStorm.

 * User: nobita

 * Date: 2/15

 * Time: 15:24

 */

namespace app\user\controller;

use think\Request;

use app\common\model\nobita\Test as TestModel;

class User extends Base //继承基础控制器

{

    public function index()

    {

        return TestModel::all();

    }

}

ThinkPHP5使用jwt进行会话验证的更多相关文章

  1. 不要使用 JWT 进行会话管理

    英文原文地址:Stop using JWT for sessions 最近我发现越来越多的人推荐使用 JWT 来在 Web 应用中管理会话(Session),这是一个非常非常糟糕的主意,在这篇文章中我 ...

  2. SpringBoot集成JWT实现token验证

    原文:https://www.jianshu.com/p/e88d3f8151db JWT官网: https://jwt.io/ JWT(Java版)的github地址:https://github. ...

  3. 关于浏览器URL中出现会话验证字符说明

    服务器安装了网站安全狗,访问网站的时候会显示一串类似iissafedogccsision=7Z86v5H5z这样的会话验证信息. 安全狗官方解释 出现该字符的主要原因是用户开启了网站安全狗的CC防护的 ...

  4. Thinkphp5 微信公众号token验证不成功的原因

    最近要启动微信项目,上个月就开始了解微信的开发,这个月要启动项目,配置微信公众号信息一直失败.为此,我甚至手工写了微信提交过来的记录,如: &timestamp=1510210523& ...

  5. Laravel jwt 多表验证隔离

    为什么要做隔离 当同一个laravel项目有多端(移动端.管理端......)都需要使用jwt做用户验证时,如果用户表有多个(一般都会有),就需要做token隔离,不然会发生移动端的token也能请求 ...

  6. 1、传统身份验证和JWT的身份验证

    1.传统身份验证和JWT的身份验证 传统身份验证:       HTTP 是一种没有状态的协议,也就是它并不知道是谁是访问应用.这里我们把用户看成是客户端,客户端使用用户名还有密码通过了身份验证,不过 ...

  7. ASP.NET Core搭建多层网站架构【10-使用JWT进行授权验证】

    2020/01/31, ASP.NET Core 3.1, VS2019, Microsoft.AspNetCore.Authentication.JwtBearer 3.1.1 摘要:基于ASP.N ...

  8. springboot使用jwt进行权限验证

    springboot使用jwt进行权限验证 依赖准备 首先导入对应的依赖 <dependencies> <dependency> <groupId>org.apac ...

  9. 基于jwt的token验证

    一.什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519). 该token被设计为紧凑且安全的,特别适用于分布 ...

随机推荐

  1. CodeForces 593D Happy Tree Party

    题目链接: http://codeforces.com/problemset/problem/593/D ----------------------------------------------- ...

  2. JS:收集的一些Array及String原型对象的扩展实现代码

    扩展Array的原型对象的方法  // 删除数组中数据 Array.prototype.del = function(n) { if (n<0) return this; return this ...

  3. 老牌激活工具 — Microsoft Toolkit 2.5.1正式版【转】

    老牌激活工具 — Microsoft Toolkit 2.5.1正式版  Microsoft Toolkit 2.5.1是一个一键激活MS Office 及 win系统的工具.原理就是利用KMS来激活 ...

  4. jquery 合并两个 json 对象

    jQuery.extend( [ deep ], target, object1, [ objectN ] )合并对象到第一个对象 //deep为boolean类型,其它参数为object类型 var ...

  5. 102.kaldi 斯坦福语音识别工具的编译

    接着上一节,在编译完了openFST有限状态机之后,便开始了最重要部分,语音识别插件的编译过程 首先看目录是如下所示的 1.首先添加openBLAS的支持,这是一个矩阵运算库,个人觉得这个矩阵运算库 ...

  6. 提高redis cluster集群的安全性,增加密码验证

    节点设置密码 1.修改配置文件 在配置文件里面增加密码选项,一定要加上masterauth,不然Redirected的时候会失败. masterauth redispassword requirepa ...

  7. Yahoo! 35条网站性能优化建议

    Yahoo! 35条网站性能优化建议 Yahoo!的 Exceptional Performance团队为改善 Web性能带来最佳实践.他们为此进行了一系列的实验.开发了各种工具.写了大量的文章和博客 ...

  8. 最长回文子串 —— Manacher (马拉车) 算法

    最长回文子串 回文串就是原串和反转字符串相同的字符串.比如 aba,acca.前一个是奇数长度的回文串,后一个是偶数长度的回文串. 最长回文子串就是一个字符串的所有子串中,是回文串且长度最长的子串. ...

  9. SeaJs与RequireJs执行差异

    seajs与requirejs在模块的加载方面是没有差异的,无论是requirejs在定义模块时定义的依赖模块,还是seajs在factory函数中require的依赖模块,在会在加载当前模块时被载入 ...

  10. c#生成html静态文件时出现空白行,怎么去掉utf-8中的bom

    public static void UTF8RemoveBOM(string filepath) { UTF8RemoveBOM(filepath, filepath); }   public st ...