原文連接:http://ukagaka.github.io/php/2018/05/08/JWT.html
1. 為什么要使用tokent進行登錄
前后端分離或者為了支持多個web應用,那么原來的cookies或者session在使用上就會有很大的問題
cookie和session認證需要在同一主域名下才可以進行認證(目前可以把session存儲在redis內進行解決)。
2. 解決方案
oauth2 和 jwt
jwt :是一種安全標准。基本思路就是用戶提供用戶名和密碼給認證服務器,服務器驗證用戶提交信息信息的合法性;如果驗證成功,會產生並返回一個token(令牌)
OAuth2 :是一個安全的授權框架。它詳細描述了系統中不同角色、用戶、服務前端應用(比如API),以及客戶端(比如網站或移動APP)之間怎么實現相互認證。
(這里采用jwt,這種JSON Web Token 這種方式進行認證)
3. 生成方法
-
頭部:加密類型
-
說明:消息內容
-
key:一個隨機碼用來加密
-
上面三部分使用.連接起來,然后使用hs256進行加密,生成tokent
4. 詳細生成方法
1). 頭部通常由兩部分組成:令牌的類型(即JWT)和所使用的加密算法(如:SHA256或者RSA)
{
"alg": "HS256",
"typ": "JWT"
}
然后,這個json被Base64Url編碼,成為第一部分
2). 有效載荷是聲明。聲明是關於實體的部分。
{
"exp": "1525785339",
"sub": "1234567890",
"name": "John Doe",
"admin": true
}
然后將有效載荷Base64Url進行編碼,成為第二部分
(PS:此信息盡管受到篡改保護,但是任何人都可以閱讀。除非加密,否則不要將重要信息放在里面)
3). 使用一個加密key
4). 簽名,需要使用編碼后的第一部分,編碼后的第二部分,然后一個關鍵的key。采用第一部分里的加密算法進行簽名
HMACSHA256(
base64UrlEncode(header) + "." + base64UrlEncode(payload),
key
)
該簽名用於驗證消息是否有篡改。
(PHP使用crypt方法進行加密。注意:SHA-256用於防篡改,AES-256用於加密兩個概念不一樣)
5. token存放位置
通常應該在請求的header頭中的 Authorization字段使用 Bearer模式添加JWT(Authorization: Bearer ) (當然你也可以放在任意位置,如URL后面當成一個參數傳遞,只要客戶端能識別就行,不過既然JWT是個規范,那么我們最好還是按照規范來)
6. 使用方式
- 客戶端用戶輸入用戶名密碼后執行登錄,請求token
- 服務器收到請求后,使用JWT這種規范,進行生成token,返回給客戶端
- 客戶端收到token以后,解密后,驗證token的時效性(token的過期時間),保存起來
- 客戶端拿token請求數據
- 服務器收到token解密后,驗證用戶身份,驗證時效性,然后驗證用戶
7. 缺點
1. 無法作廢已頒布的令牌(對token刷新使用期限)
2. 不易應對過期數據(支持 token 失效)
所以如果你使用了 token ,那么如果 token 被捕獲到,那么就可以進行偽造進行冒充。所以如果安全比較高的話,還是建議使用oauth2