PHP如何使用JWT做Api接口身份认证的实现
1.JWT是什么?
JWT官网https://jwt.io
官网简介:JSONWeb令牌(JWT)是一个开放标准(RFC7519),它定义了一种紧凑且自包含的方式,用于在各方之间作为JSON对象安全地传输信息。由于此信息是经过数字签名的,因此可以被验证和信任。可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对对JWT进行签名。
通常来说,JWT是一个由包含用户信息所生成的加密串,将生成的JWT加密串放入所有的请求head中,前端通过设定的秘钥加密参数,发送数据给后端,后端接收参数,按照设定的秘钥,同样加密接收参数,与前端加密参数做比对,保证请求有效并防止参数不被篡改。验证通过就进行相关的逻辑处理,否则请求算作无效请求。
2.为什么使用JWT?
传统互联网项目在实现保持登录状态、退出登录、接口请求等功能时会使用Session,但是众所周知Session数据在产生后会存储与服务器端,所以当用户量达到一定程度会相应影响到服务器的性能,且Session在前后端分离的项目中或是多服务器项目中的支持不是很好。但是Token不会产生这些问题,服务器端对Token只有生成和验证操作,不会存放数据,针对前后端分离的项目,包括手机APP和当前热门的小程序的支持都很不错,所以Token成为了用于验证的极好选择。
3.在项目中引入JWT扩展
composerrequirefirebase/php-jwt
4.JWT具体使用步骤
在登录控制器中
$key='e10adc3949ba59abbe56e057f20f883e';//自定义秘钥,加密解密都需要用到 $time=time();//当前时间 $token=[ 'iat'=>$time,//签发时间 'nbf'=>$time,//(NotBefore):某个时间点后才能访问,比如设置time+30,表示当前时间30秒后才能使用 'data'=>[ 'userid'=>1, 'username'=>'zqw.xyz', ]]; $jwtToken=\Firebase\JWT\JWT::encode($token,$key);
登录成功后,将生成token返回给前端。前端记录该用户信息的token,将token放入head,之后的请求中都需要head都需包含token。
我们可以定义一个AppID和AppSecret,同时告知前端。前端每次请求中携带AppID,请求参数加入一个必要参数sign,sign是由所有请求参数拼接而成加密后的加密串。
注意:sign参数值,需要加入AppID所需要对应AppSecret,请求参数和后端约定相同排序规则,然后进行加密。
后端验证签名是否通过
$token=$request->instance()->header('token'); if(empty($token)){ abort(0,'token验证失败'); } $appid=$request->param('appid'); if(empty($appid)){ abort(0,'appid验证失败'); } $request_time=$request->param('request_time'); if(empty($request_time)){ abort(0,'时间戳验证失败'); } $random_number=$request->param('random_number'); if(empty($random_number)){ abort(0,'数字验证失败'); } //记录每次请求的uuid,如果uuid已存在,则该次请求无效。 $request_uuid=Db::name('request')->where('uuid',$random_number)->find(); if(count($request_uuid)>1){ abort(0,'请求无效'); }else{ Db::name('request')->insert([ 'uuid'=>$random_number, 'add_time'=>time(), 'url'=>$request->baseUrl(), ]); } $secret_type=[ 'appid1'=>'bd98e16b5eaf3e49fa2ecd3f9ee8f6ae', 'appid2'=>'b7e23061042f2799180e41d94cdbf861', ]; $secret=$secret_type[$appid]; if(empty($random_number)){ abort(0,'secret验证失败'); } $sign=$request->param('sign'); if(empty($sign)){ abort(0,'sign验证失败'); } $all_obj['secret']=$secret; ksort($all_obj); $sign_key=''; foreach($all_objas$k=>$v){ $sign_key.=$k.='='.$v.'&'; } $sign_key=substr_replace($sign_key,"",-1); $md_sign=md5($sign_key); if($sign!==$md_sign){ abort(0,'签名验证失败'); } 注意:为防止重复请求,建议由前端每次传入uuid,根据uuid请求是否重复。 6.验证通过后,进行相关的业务逻辑代码处理。 // $result=array( 'status'=>1, 'msg'=>'获取成功', 'result'=>array( ) ); returnjson($result)
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持毛票票。
声明:本文内容来源于网络,版权归原作者所有,内容由互联网用户自发贡献自行上传,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任。如果您发现有涉嫌版权的内容,欢迎发送邮件至:czq8825#qq.com(发邮件时,请将#更换为@)进行举报,并提供相关证据,一经查实,本站将立刻删除涉嫌侵权内容。