碼上歡樂
相關內容    簡體    繁體

JWT了解和實際使用

本文轉載自   查看原文   2019-08-19 11:15   400    jwt/ php

一、JWT

 

 

JSON Web Token(JWT)是目前最流行的跨域身份驗證解決方案。蟲蟲今天給大家介紹JWT的原理和用法。

1.跨域身份驗證

Internet服務無法與用戶身份驗證分開。一般過程如下。

1.用戶向服務器發送用戶名和密碼。

2.驗證服務器后,相關數據(如用戶角色,登錄時間等)將保存在當前會話中。

3.服務器向用戶返回session_id,session信息都會寫入到用戶的Cookie。

4.用戶的每個后續請求都將通過在Cookie中取出session_id傳給服務器。

5.服務器收到session_id並對比之前保存的數據,確認用戶的身份。

 

 

這種模式最大的問題是,沒有分布式架構,無法支持橫向擴展。如果使用一個服務器,該模式完全沒有問題。但是,如果它是服務器群集或面向服務的跨域體系結構的話,則需要一個統一的session數據庫庫來保存會話數據實現共享,這樣負載均衡下的每個服務器才可以正確的驗證用戶身份。

例如蟲蟲舉一個實際中常見的單點登陸的需求:站點A和站點B提供同一公司的相關服務。現在要求用戶只需要登錄其中一個網站,然后它就會自動登錄到另一個網站。怎么做?

一種解決方案是聽過持久化session數據,寫入數據庫或文件持久層等。收到請求后,驗證服務從持久層請求數據。該解決方案的優點在於架構清晰,而缺點是架構修改比較費勁,整個服務的驗證邏輯層都需要重寫,工作量相對較大。而且由於依賴於持久層的數據庫或者問題系統,會有單點風險,如果持久層失敗,整個認證體系都會掛掉。

 

 

本文蟲蟲給大家介紹另外一種靈活的解決方案,通過客戶端保存數據,而服務器根本不保存會話數據,每個請求都被發送回服務器。 JWT是這種解決方案的代表。

 

 

2. JWT的原則

JWT的原則是在服務器身份驗證之后,將生成一個JSON對象並將其發送回用戶,如下所示。

{

"UserName": "Chongchong",

"Role": "Admin",

"Expire": "2018-08-08 20:15:56"

}

之后,當用戶與服務器通信時,客戶在請求中發回JSON對象。服務器僅依賴於這個JSON對象來標識用戶。為了防止用戶篡改數據,服務器將在生成對象時添加簽名(有關詳細信息,請參閱下文)。

服務器不保存任何會話數據,即服務器變為無狀態,使其更容易擴展。

3. JWT的數據結構

典型的,一個JWT看起來如下圖。

 

 

改對象為一個很長的字符串,字符之間通過"."分隔符分為三個子串。注意JWT對象為一個長字串,各字串之間也沒有換行符,此處為了演示需要,我們特意分行並用不同顏色表示了。每一個子串表示了一個功能塊,總共有以下三個部分:

JWT的三個部分如下。JWT頭、有效載荷和簽名,將它們寫成一行如下。

 

 

我們將在下面介紹這三個部分。

3.1 JWT頭

JWT頭部分是一個描述JWT元數據的JSON對象,通常如下所示。

{

"alg": "HS256",

"typ": "JWT"

}

在上面的代碼中,alg屬性表示簽名使用的算法,默認為HMAC SHA256(寫為HS256);typ屬性表示令牌的類型,JWT令牌統一寫為JWT。

最后,使用Base64 URL算法將上述JSON對象轉換為字符串保存。

3.2 有效載荷

有效載荷部分,是JWT的主體內容部分,也是一個JSON對象,包含需要傳遞的數據。 JWT指定七個默認字段供選擇。

iss:發行人

exp:到期時間

sub:主題

aud:用戶

nbf:在此之前不可用

iat:發布時間

jti:JWT ID用於標識該JWT

除以上默認字段外,我們還可以自定義私有字段,如下例:

{

"sub": "1234567890",

"name": "chongchong",

"admin": true

}

請注意,默認情況下JWT是未加密的,任何人都可以解讀其內容,因此不要構建隱私信息字段,存放保密信息,以防止信息泄露。

JSON對象也使用Base64 URL算法轉換為字符串保存。

3.3簽名哈希

簽名哈希部分是對上面兩部分數據簽名,通過指定的算法生成哈希,以確保數據不會被篡改。

首先,需要指定一個密碼(secret)。該密碼僅僅為保存在服務器中,並且不能向用戶公開。然后,使用標頭中指定的簽名算法(默認情況下為HMAC SHA256)根據以下公式生成簽名。

HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload),

secret)

在計算出簽名哈希后,JWT頭,有效載荷和簽名哈希的三個部分組合成一個字符串,每個部分用"."分隔,就構成整個JWT對象。

3.4 Base64URL算法

如前所述,JWT頭和有效載荷序列化的算法都用到了Base64URL。該算法和常見Base64算法類似,稍有差別。

作為令牌的JWT可以放在URL中(例如api.example/?token=xxx)。 Base64中用的三個字符是"+","/"和"=",由於在URL中有特殊含義,因此Base64URL中對他們做了替換:"="去掉,"+"用"-"替換,"/"用"_"替換,這就是Base64URL算法,很簡單把。

4. JWT的用法

客戶端接收服務器返回的JWT,將其存儲在Cookie或localStorage中。

此后,客戶端將在與服務器交互中都會帶JWT。如果將它存儲在Cookie中,就可以自動發送,但是不會跨域,因此一般是將它放入HTTP請求的Header Authorization字段中。

Authorization: Bearer

當跨域時,也可以將JWT被放置於POST請求的數據主體中。

5. JWT問題和趨勢

1、JWT默認不加密,但可以加密。生成原始令牌后,可以使用改令牌再次對其進行加密。

2、當JWT未加密方法是,一些私密數據無法通過JWT傳輸。

3、JWT不僅可用於認證,還可用於信息交換。善用JWT有助於減少服務器請求數據庫的次數。

4、JWT的最大缺點是服務器不保存會話狀態,所以在使用期間不可能取消令牌或更改令牌的權限。也就是說,一旦JWT簽發,在有效期內將會一直有效。

5、JWT本身包含認證信息,因此一旦信息泄露,任何人都可以獲得令牌的所有權限。為了減少盜用,JWT的有效期不宜設置太長。對於某些重要操作,用戶在使用時應該每次都進行進行身份驗證。

6、為了減少盜用和竊取,JWT不建議使用HTTP協議來傳輸代碼,而是使用加密的HTTPS協議進行傳輸。

二、php后端實現JWT認證方法

1.JWT使用流程

  1. 初次登錄:用戶初次登錄,輸入用戶名密碼
  2. 密碼驗證:服務器從數據庫取出用戶名和密碼進行驗證
  3. 生成JWT:服務器端驗證通過,根據從數據庫返回的信息,以及預設規則,生成JWT
  4. 返還JWT:服務器的HTTP RESPONSE中將JWT返還
  5. 帶JWT的請求:以后客戶端發起請求,HTTP REQUEST
  6. HEADER中的Authorizatio字段都要有值,為JWT
  7. 服務器驗證JWT

2.PHP如何實現JWT

<?php
/**
 * PHP實現jwt
 */
class Jwt {

    //頭部
    private static $header=array(
        'alg'=>'HS256', //生成signature的算法
        'typ'=>'JWT'    //類型
    );

    //使用HMAC生成信息摘要時所使用的密鑰
    private static $key='123456';


    /**
     * 獲取jwt token
     * @param array $payload jwt載荷   格式如下非必須
     * [
     *  'iss'=>'jwt_admin',  //該JWT的簽發者
     *  'iat'=>time(),  //簽發時間
     *  'exp'=>time()+7200,  //過期時間
     *  'nbf'=>time()+60,  //該時間之前不接收處理該Token
     *  'sub'=>'www.admin.com',  //面向的用戶
     *  'jti'=>md5(uniqid('JWT').time())  //該Token唯一標識
     * ]
     * @return bool|string
     */
    public static function getToken(array $payload)
    {
        if(is_array($payload))
        {
            $base64header=self::base64UrlEncode(json_encode(self::$header,JSON_UNESCAPED_UNICODE));
            $base64payload=self::base64UrlEncode(json_encode($payload,JSON_UNESCAPED_UNICODE));
            $token=$base64header.'.'.$base64payload.'.'.self::signature($base64header.'.'.$base64payload,self::$key,self::$header['alg']);
            return $token;
        }else{
            return false;
        }
    }


    /**
     * 驗證token是否有效,默認驗證exp,nbf,iat時間
     * @param string $Token 需要驗證的token
     * @return bool|string
     */
    public static function verifyToken(string $Token)
    {
        $tokens = explode('.', $Token);
        if (count($tokens) != 3)
            return false;

        list($base64header, $base64payload, $sign) = $tokens;

        //獲取jwt算法
        $base64decodeheader = json_decode(self::base64UrlDecode($base64header), JSON_OBJECT_AS_ARRAY);
        if (empty($base64decodeheader['alg']))
            return false;

        //簽名驗證
        if (self::signature($base64header . '.' . $base64payload, self::$key, $base64decodeheader['alg']) !== $sign)
            return false;

        $payload = json_decode(self::base64UrlDecode($base64payload), JSON_OBJECT_AS_ARRAY);

        //簽發時間大於當前服務器時間驗證失敗
        if (isset($payload['iat']) && $payload['iat'] > time())
            return false;

        //過期時間小宇當前服務器時間驗證失敗
        if (isset($payload['exp']) && $payload['exp'] < time())
            return false;

        //該nbf時間之前不接收處理該Token
        if (isset($payload['nbf']) && $payload['nbf'] > time())
            return false;

        return $payload;
    }




    /**
     * base64UrlEncode   https://jwt.io/  中base64UrlEncode編碼實現
     * @param string $input 需要編碼的字符串
     * @return string
     */
    private static function base64UrlEncode(string $input)
    {
        return str_replace('=', '', strtr(base64_encode($input), '+/', '-_'));
    }

    /**
     * base64UrlEncode  https://jwt.io/  中base64UrlEncode解碼實現
     * @param string $input 需要解碼的字符串
     * @return bool|string
     */
    private static function base64UrlDecode(string $input)
    {
        $remainder = strlen($input) % 4;
        if ($remainder) {
            $addlen = 4 - $remainder;
            $input .= str_repeat('=', $addlen);
        }
        return base64_decode(strtr($input, '-_', '+/'));
    }

    /**
     * HMACSHA256簽名   https://jwt.io/  中HMACSHA256簽名實現
     * @param string $input 為base64UrlEncode(header).".".base64UrlEncode(payload)
     * @param string $key
     * @param string $alg   算法方式
     * @return mixed
     */
    private static function signature(string $input, string $key, string $alg = 'HS256')
    {
        $alg_config=array(
            'HS256'=>'sha256'
        );
        return self::base64UrlEncode(hash_hmac($alg_config[$alg], $input, $key,true));
    }
}

    //測試和官網是否匹配begin
    $payload=array('sub'=>'1234567890','name'=>'John Doe','iat'=>1516239022);
    $jwt=new Jwt;
    $token=$jwt->getToken($payload);
    echo "<pre>";
    echo $token;
    
    //對token進行驗證簽名
    $getPayload=$jwt->verifyToken($token);
    echo "<br><br>";
    var_dump($getPayload);
    echo "<br><br>";
    //測試和官網是否匹配end
    
    
    //自己使用測試begin
    $payload_test=array('iss'=>'admin','iat'=>time(),'exp'=>time()+7200,'nbf'=>time(),'sub'=>'www.admin.com','jti'=>md5(uniqid('JWT').time()));;
    $token_test=Jwt::getToken($payload_test);
    echo "<pre>";
    echo $token_test;
    
    //對token進行驗證簽名
    $getPayload_test=Jwt::verifyToken($token_test);
    echo "<br><br>";
    var_dump($getPayload_test);
    echo "<br><br>";
    //自己使用時候end

 

參考地址:https://baijiahao.baidu.com/s?id=1608021814182894637&wfr=spider&for=pc

https://segmentfault.com/a/1190000016251365


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 ubi實際使用 miniupnpd初略理解和實際使用 Datafactory 實際使用案例 MySQL分區 (分區介紹與實際使用) log4j2 實際使用詳解 RecyclerView的adapter的實際使用方法 單模光纖與多模光纖的實際使用 Android教程2020 - RecyclerView實際使用 redis lock 和 tryLock 實際使用區別 byte數組的實際使用長度
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM