json web token(缩写 jwt),是目前最流行的跨域认证解决方案。
ssion登录认证方案:用户从客户端传递用户名、密码等信息,服务端认证后将信息存储在ssion中,将ssion_id放到cookie中。
以后访问其他页面,自动从cookie中取到ssion_id,再从ssion中取认证信息。
另一类解决方案,将认证信息,返回给客户端,存储到客户端。下次访问其他页面,需要从客户端传递认证信息回服务端。
jwt就是这类方案的代表,将认证信息保存在客户端。
jwt 的原理是,服务器认证以后,生成一个 json格式的 对象,发回给客户端,就像下面这样。
{"用户名": "admin","角色": "超级管理员","到期时间": "2019-07-13 00:00:00"}以后,客户端与服务端通信的时候,都要发回这个 json 对象。服务器完全只靠这个对象认定用户身份。
为了防止用户篡改数据,服务器在生成这个对象的时候,会加上签名(详见后文)。
服务器不再保存任何 ssion 数据,也就是服务器变成无状态了,从而比较容易实现扩展。
客户端收到服务器返回的 jwt,可以储存在 cookie 里面,也可以储存在 localstorage。
此后,客户端每次与服务器通信,都要带上这个 jwt。你可以把它放在 cookie 里面自动发送,但是这样不能跨域,所以更好的做法是放在 http 请求的头信息authorization字段里面。
authorization: bearer <token>
另一种做法是,跨域的时候,jwt 就放在 post 请求的数据体里面。
jwt功能组件
使用compor安装 jwt 功能组件
compor require lcobucci/jwt 3.3
封装jwt工具类 (参考 https://github.com/lcobucci/jwt/tree/3.3)
extend/tools/jwt/token.php
<?phpnamespace tools\jwt;u lcobucci\jwt\builder;u lcobucci\jwt\parr;u lcobucci\jwt\signer\hmac\sha256;u lcobucci\jwt\validationdata;/** * created by phpstorm. * ur: asus * date: 2019/4/5 * time: 13:02 */class token{ private static $_config = [ 'audience' => 'http://www.pyg.com',//接收人 'id' => '3f2g57a92aa',//token的唯一标识,这里只是一个简单示例 'sign' => 'pinyougou',//签名密钥 'issuer' => 'http://adminapi.pyg.com',//签发人 'expire' => 3600*24 //有效期 ]; //生成token public static function gettoken($ur_id){ //签名对象 $signer = new sha256(); //获取当前时间戳 $time = time(); //设置签发人、接收人、唯一标识、签发时间、立即生效、过期时间、用户id、签名 $token = (new builder())->issuedby(lf::$_config['issuer']) ->canonlybeudby(lf::$_config['audience']) ->identifiedby(lf::$_config['id'], true) ->issuedat($time) ->canonlybeudafter($time-1) ->expiresat($time + lf::$_config['expire']) ->with('ur_id', $ur_id) ->sign($signer, lf::$_con谭晶军衔fig['sign']) ->高中毕业证怎么考gettoken(); return (string)$token; } //从请求信息中获取token令牌 public static function getrequesttoken() { if (empty($_rver['http_authorization'])) { return fal; } $header = $_rver['http_authorization']; $method = 'bearer'; //去除token中可能存在的bearer标识 return trim(str_ireplace($method, '', $header)); } //从token中获取用户id (包含token的校验) public static function geturid($token = null) { $ur_id = null; $token = empty($token)?lf::getrequesttoken():$token; if (!empty($token)) { //为了注销token 加以下if判断代码 $delete_token = cache('delete_token') ?: []; if(in_array($token, $delete_token)){ //token已被删除(注销) 什么是细胞分化 return $ur_id; } $token = (new parr())->par((string) $token); //验证token $data = new validationdata(); $data->tissuer(lf::$_config['issuer']);//验证的签发人 $data->taudience(lf::$_config['audience']);//验证的接收人 $data->tid(lf::$_config['id']);//验证token标识 if (!$token->validate($data)) { //token验证失败 四川军区 return $ur_id; } //验证签名 $signer = new sha256(); if (!$token->verify($signer, lf::$_config['sign'])) { //签名验证失败 return $ur_id; } //从token中获取用户id $ur_id = $token->getclaim('ur_id'); } 代办租赁合同 return $ur_id; }}修改public/.htaccess文件,通过apache重写,处理http请求中的authorization字段
(不处理,php中接收不到http_authorazation字段信息)
rewritecond %{http:authorization} ^(.+)$rewriterule .* - [e=http_authorization:%{http:authorization}]测试: application/adminapi/controller/index.php中index方法
静态调用封装的\tools\jwt\token类的gettoken方法,传递一个用户id值,生成token
静态调用封装的\tools\jwt\token类的geturid方法,传递一个token,获取用户id值
访问结果
到此这篇关于php实现jwt的token登录认证的文章就介绍到这了。希望对大家的学习有所帮助,也希望大家多多支持www.887551.com。
本文发布于:2023-04-03 23:44:51,感谢您对本站的认可!
本文链接:https://www.wtabcd.cn/fanwen/zuowen/5d2fb20da7638227bef2fcd0ea6d40be.html
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,我们将在24小时内删除。
本文word下载地址:PHP实现JWT的Token登录认证.doc
本文 PDF 下载地址:PHP实现JWT的Token登录认证.pdf
| 留言与评论(共有 0 条评论) |
