Enregistrement complet du processus de simulation réel de l'authentification de connexion JWT

Après une compilation minutieuse par l'éditeur PHP Banana, nous vous présentons un enregistrement complet populaire du processus de simulation de développement réel - simulation réelle d'authentification de connexion JWT. JWT (JSON Web Token) est une norme ouverte d'authentification. Il génère un jeton (Token) une fois que l'utilisateur s'est connecté avec succès, et l'utilisateur transporte ce jeton dans les demandes ultérieures d'authentification d'identité. Cet article fournira une analyse approfondie du processus de mise en œuvre de l'authentification de connexion JWT et fournira un enregistrement de démonstration pratique complet. Au cours du processus, nous vous ferons comprendre les principes de JWT et comment l'appliquer dans le développement réel. Que vous soyez débutant ou développeur expérimenté, vous pouvez acquérir de précieuses connaissances et une expérience pratique grâce à cet article.

Processus d'authentification par jeton

• En tant que solution d'authentification inter-domaines la plus populaire, JWT (JSON WEB Token) est profondément apprécié par les développeurs. Le processus principal est le suivant :
Le client envoie le numéro de compte. et mot de passe Demande de connexion
• Le serveur reçoit la demande et vérifie si le mot de passe du compte est réussi
• Après une vérification réussie, le serveur générera un jeton unique et le renverra au client
• Le client reçoit le jeton et le stocke dans un cookie ou Chaque fois que le client envoie une requête au serveur après
• dans localStroge, le jeton sera transporté via le cookie ou l'en-tête
• Le serveur vérifie la validité du jeton et ne renvoie les données de réponse qu'après l'avoir transmis

Avantages de l'authentification par jeton

Prise en charge de l'accès entre domaines : les cookies ne permettent pas l'accès entre domaines. Cela n'existe pas pour le mécanisme de jeton. Le principe est que les informations d'authentification de l'utilisateur transmises sont transmises via
• Http. en-tête.
Sans état : le mécanisme du jeton n'a pas besoin d'être stocké côté serveur, car le jeton lui-même contient les informations de tous les utilisateurs connectés, seules les informations d'état doivent être stockées dans le cookie du client ou. médias locaux
• Applicabilité plus large : tant que le client prend en charge le protocole http, l'authentification par jeton peut être utilisée.
• Pas besoin de prendre en compte le CSRF : puisqu'il ne repose plus sur les cookies, aucun CSRF ne se produira lors de l'utilisation de l'authentification par jeton, il n'est donc pas nécessaire de prendre en compte la défense CSRF

Structure JWT

Un JWT est en fait une
• chaîne , il se compose de trois parties : en-tête, charge utile et signature. Utilisez un point au milieu pour le séparer en trois parties. Notez qu'il n'y a pas de saut de ligne à l'intérieur du JWT.

 ?

En-tête/en-tête

en-tête se compose de deux parties : jeton type JWT et

algorithmeheader 由两部分组成： token 的类型 JWT 和算法名称：H<strong class="keylink">Mac</strong>、SHA256、RSA

{
"alg": "HS256",
"typ": "JWT"
}

? 载荷 / Payload

Payload 部分也是一个 <strong class="keylink">js</strong>ON 对象，用来存放实际需要传递的数据。JWT 指定七个默认字段供选择。

除了默认字段之外，你完全可以添加自己想要的任何字段，一般用户登录成功后，就将用户信息存放在这里

iss：发行人
exp：到期时间
sub：主题
aud：用户
nbf：在此之前不可用
iat：发布时间
jti：JWT ID用于标识该JWT

{
"iss": "xxxxxxx",
"sub": "xxxxxxx",
"aud": "xxxxxxx",
"user": [
	'username': '极客飞兔',
	'gender': 1,
	'nickname': '飞兔小哥' 
 ] 
}

• ? 签名 / Signature
• 签名部分是对上面的 头部、载荷 两部分数据进行的数据签名
• 为了保证数据不被篡改，则需要指定一个密钥，而这个密钥一般只有你知道，并且存放在服务端
• 生成签名的代码一般如下：

// 其中secret 是密钥
String signature = HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)

JWT 基本使用

• 客户端收到服务器返回的 JWT，可以储存在 Cookie 里面， 也可以储存在 localStorage
• 然后 客户端每次与服务器通信，都要带上这个 JWT
• 把 JWT 保存在 Cookie 里面发送请求，这样不能跨域
• 更好的做法是放在 HTTP 请求的头信息 Authorization 字段里面

fetch('license/login', {
	headers: {
		'Authorization': 'X-TOKEN' + token
	}
})

实战：使用 JWT 登录认证

这里使用 Think<strong class="keylink">PHP</strong>6 整合 JWT 登录认证进行实战模拟

? 安装 JWT 扩展

composer require firebase/php-jwt

? 封装生成 JWT 和解密方法

<?php


namespace app\services;

use app\Helper;
use Firebase\JWT\JWT;
use Firebase\JWT\Key;

class JwtService
{
protected $salt;

public function __construct()
{
//从配置信息这种或取唯一字符串，你可以随便写比如md5(&#39;token&#39;)
$this->salt = config(&#39;jwt.salt&#39;) || "autofelix";
}

// jwt生成
public function generateToken($user)
{
$data = array(
"iss" => &#39;autofelix&#39;,//签发者 可以为空
"aud" => &#39;autofelix&#39;, //面象的用户，可以为空
"iat" => Helper::getTimestamp(), //签发时间
"nbf" => Helper::getTimestamp(), //立马生效
"exp" => Helper::getTimestamp() + 7200, //token 过期时间 两小时
"user" => [ // 记录用户信息
&#39;id&#39; => $user->id,
&#39;username&#39; => $user->username,
&#39;truename&#39; => $user->truename,
&#39;phone&#39; => $user->phone,
&#39;email&#39; => $user->email,
&#39;role_id&#39; => $user->role_id
]
);
$jwt = JWT::encode($data, md5($this->salt), &#39;HS256&#39;);
return $jwt;
}

// jwt解密
public function chekToken($token)
{
JWT::$leeway = 60; //当前时间减去60，把时间留点余地
$decoded = JWT::decode($token, new Key(md5($this->salt), &#39;HS256&#39;));
return $decoded;
}
}

? 用户登录后，生成 JWT 标识

<?php
declare (strict_types=1);

namespace app\controller;

use think\Request;
use app\ResponseCode;
use app\Helper;
use app\model\User as UserModel;
use app\services\JwtService;

class License
{
public function login(Request $request)
{
$data = $request->only([&#39;username&#39;, &#39;passWord&#39;, &#39;code&#39;]);

// ....进行验证的相关逻辑...
$user = UserModel::where(&#39;username&#39;, $data[&#39;username&#39;])->find();
		
		// 验证通过生成 JWT, 返回给前端保存
$token = (new JwtService())->generateToken($user);

return json([
&#39;code&#39; => ResponseCode::SUCCESS,
&#39;message&#39; => &#39;登录成功&#39;,
&#39;data&#39; => [
&#39;token&#39; => $token
]
]);
}
}

? 中间件验证用户是否登录

在 middleware.php Nom : H<strong class="keylink">Mac</strong>, SHA256, RSA

<?php
// 全局中间件定义文件
return [
	// ...其他中间件
// JWT验证
\app\middleware\Auth::class
];

Charge utile/ Charge utile🎜🎜🎜Charge utile</code Le > ? part est également un objet <code>🎜js🎜ON, utilisé pour stocker les données réelles qui doivent être transférées. JWT spécifie sept champs par défaut parmi lesquels choisir. 🎜🎜En plus des champs par défaut, vous pouvez ajouter tous les champs de votre choix. Généralement, une fois qu'un utilisateur s'est connecté avec succès, les informations utilisateur seront stockées ici🎜

🎜iss : émetteur 🎜exp : délai d'expiration🎜sub : Sujet. 🎜aud : Utilisateur 🎜nbf : Non disponible avant cela 🎜iat : Heure de sortie 🎜jti : ID JWT utilisé pour identifier ce JWT 🎜

🎜

<?php
declare (strict_types=1);

namespace app\middleware;

use app\ResponseCode;
use app\services\JwtService;

class Auth
{
private $router_white_list = [&#39;login&#39;];

public function handle($request, \Closure $next)
{
if (!in_array($request->pathinfo(), $this->router_white_list)) {
$token = $request->header(&#39;token&#39;);

try {
	// jwt 验证
$jwt = (new JwtService())->chekToken($token);
} catch (\Throwable $e) {
return json([
&#39;code&#39; => ResponseCode::ERROR,
&#39;msg&#39; => &#39;Token验证失败&#39;
]);
}

$request->user = $jwt->user;
}

return $next($request);
}
}

🎜🎜 🎜Signature/Signature 🎜🎜🎜La partie signature est juste au-dessus des données signature des parties d'en-tête et de charge utile 🎜🎜Afin de garantir que les données ne sont pas falsifiées, vous devez spécifier une clé, et cette clé n'est généralement connue que de vous et est stockée sur le serveur 🎜🎜Le code pour générer le la signature est généralement la suivante ：🎜🎜🎜rrreee🎜JWT Utilisation de base🎜🎜🎜Le client reçoit le JWT renvoyé par le serveur🎜, qui peut être stocké dans un cookie ou dans localStorage🎜🎜Le client doit ensuite l'apporter à chaque communication avec le serveur JWT🎜🎜Enregistrez JWT dans Cookie pour envoyer la requête, afin qu'elle ne puisse pas traverser le domaine🎜🎜Une meilleure façon est de le mettre dans le champ Autorisation des informations d'en-tête de la requête HTTP🎜🎜🎜rrreee🎜Combat pratique : Utiliser Authentification de connexion JWT🎜🎜Utiliser Think🎜PHP🎜6 intègre l'authentification de connexion JWT pour une simulation pratique🎜🎜 🎜Installer l'extension JWT🎜🎜🎜rrreee🎜 🎜Encapsuler le JWT ? méthode de génération et de décryptage🎜🎜🎜rrreee🎜 ? 🎜Une fois l'utilisateur connecté, générer une identification JWT🎜🎜🎜rrreee🎜 🎜Le middleware vérifie si l'utilisateur est connecté🎜🎜🎜Enregistrer le 🎜middleware dans middleware.php 🎜🎜🎜rrreee🎜Après avoir enregistré le middleware, améliorez la logique de vérification dans le middleware de vérification des autorisations🎜

<?php
declare (strict_types=1);

namespace app\middleware;

use app\ResponseCode;
use app\services\JwtService;

class Auth
{
private $router_white_list = [&#39;login&#39;];

public function handle($request, \Closure $next)
{
if (!in_array($request->pathinfo(), $this->router_white_list)) {
$token = $request->header(&#39;token&#39;);

try {
	// jwt 验证
$jwt = (new JwtService())->chekToken($token);
} catch (\Throwable $e) {
return json([
&#39;code&#39; => ResponseCode::ERROR,
&#39;msg&#39; => &#39;Token验证失败&#39;
]);
}

$request->user = $jwt->user;
}

return $next($request);
}
}

附：为什么使用jwt而不使用session

• session是将客户端数据储存在服务器的内存，当客服端的数据过多，服务器的内存开销大；
• session的数据储存在某台服务器，在分布式的项目中无法做到共享；
• jwt的安全性更好。

总而言之，如果使用了分布式，切只能在session和jwt里面选的时候，就一定要选jwt。

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

Déclaration de ce site Web

Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn

Outils d'IA chauds

Undresser.AI Undress

Application basée sur l'IA pour créer des photos de nu réalistes

AI Clothes Remover

Outil d'IA en ligne pour supprimer les vêtements des photos.

Undress AI Tool

Images de déshabillage gratuites

Clothoff.io

Dissolvant de vêtements AI

AI Hentai Generator

Générez AI Hentai gratuitement.

Afficher plus

Article chaud

R.E.P.O. Crystals d'énergie expliqués et ce qu'ils font (cristal jaune)

3 Il y a quelques semaines By 尊渡假赌尊渡假赌尊渡假赌

R.E.P.O. Meilleurs paramètres graphiques

3 Il y a quelques semaines By 尊渡假赌尊渡假赌尊渡假赌

Assassin's Creed Shadows: Solution d'énigmes de coquille

1 Il y a quelques semaines By DDD

R.E.P.O. Comment réparer l'audio si vous n'entendez personne

3 Il y a quelques semaines By 尊渡假赌尊渡假赌尊渡假赌

Où trouver la courte de la grue à atomide atomique

1 Il y a quelques semaines By DDD

Afficher plus

Outils chauds

Bloc-notes++7.3.1

Éditeur de code facile à utiliser et gratuit

SublimeText3 version chinoise

Version chinoise, très simple à utiliser

Envoyer Studio 13.0.1

Puissant environnement de développement intégré PHP

Dreamweaver CS6

Outils de développement Web visuel

SublimeText3 version Mac

Logiciel d'édition de code au niveau de Dieu (SublimeText3)

Afficher plus

Sujets chauds

Où se trouve l'entrée de connexion pour la messagerie Gmail ?

7415

15

Tutoriel CakePHP

1359

52

Quel est le format du nom de compte de Steam

76

11

Clé d'activation Win11 permanent

24

19

Afficher plus

Related knowledge

Lignes de formatage PHP en CSV et écriture du pointeur de fichier Mar 22, 2024 am 09:00 AM

Cet article expliquera en détail comment PHP formate les lignes en CSV et écrit les pointeurs de fichiers. Je pense que c'est assez pratique, je le partage donc avec vous comme référence. J'espère que vous pourrez gagner quelque chose après avoir lu cet article. Formater les lignes au format CSV et écrire dans le pointeur de fichier Étape 1 : Ouvrir le pointeur de fichier $file=fopen("path/to/file.csv","w"); Étape 2 : Convertir les lignes en chaîne CSV à l'aide de la fonction fputcsv( ) convertit les lignes en chaînes CSV. La fonction accepte les paramètres suivants : $file : pointeur de fichier $fields : champs CSV sous forme de tableau $delimiter : délimiteur de champ (facultatif) $enclosure : guillemets de champ (

PHP modifie l'umask actuel Mar 22, 2024 am 08:41 AM

Cet article expliquera en détail la modification de l'umask actuel en PHP. L'éditeur pense que c'est assez pratique, je le partage donc avec vous comme référence. J'espère que vous pourrez gagner quelque chose après avoir lu cet article. Présentation de PHP modifiant l'umask actuel umask est une fonction php utilisée pour définir les autorisations de fichier par défaut pour les fichiers et répertoires nouvellement créés. Il accepte un argument, qui est un nombre octal représentant l'autorisation de bloquer. Par exemple, pour empêcher l'autorisation d'écriture sur les fichiers nouvellement créés, vous utiliserez 002. Méthodes pour modifier l'umask Il existe deux manières de modifier l'umask actuel en PHP : En utilisant la fonction umask() : La fonction umask() modifie directement l'umask actuel. Sa syntaxe est : intumas

PHP calcule le hachage MD5 du fichier Mar 21, 2024 pm 01:42 PM

Cet article expliquera en détail le calcul par PHP du hachage MD5 des fichiers. L'éditeur pense que c'est assez pratique, je le partage donc avec vous comme référence. J'espère que vous pourrez gagner quelque chose après avoir lu cet article. PHP calcule le hachage MD5 d'un fichier. MD5 (MessageDigest5) est un algorithme de chiffrement unidirectionnel qui convertit les messages de longueur arbitraire en une valeur de hachage de 128 bits de longueur fixe. Il est largement utilisé pour garantir l’intégrité des fichiers, vérifier l’authenticité des données et créer des signatures numériques. Calculer le hachage MD5 d'un fichier en PHP PHP propose plusieurs méthodes pour calculer le hachage MD5 d'un fichier : Utilisez la fonction md5_file() La fonction md5_file() calcule directement la valeur de hachage MD5 du fichier et renvoie une valeur de 32 caractères.

PHP tronque le fichier à une longueur donnée Mar 21, 2024 am 11:42 AM

Cet article expliquera en détail comment PHP tronque les fichiers à une longueur donnée. L'éditeur pense que c'est assez pratique, je le partage donc avec vous comme référence. J'espère que vous pourrez gagner quelque chose après avoir lu cet article. Introduction à la troncature de fichiers PHP La fonction file_put_contents() en PHP peut être utilisée pour tronquer des fichiers à une longueur spécifiée. La troncature consiste à supprimer une partie de la fin d'un fichier, raccourcissant ainsi la longueur du fichier. Syntaxe file_put_contents($filename,$data,SEEK_SET,$offset);$filename : le chemin du fichier à tronquer. $data : Chaîne vide à écrire dans le fichier. SEEK_SET : désigné comme début du fichier

PHP renvoie un tableau avec les valeurs clés inversées Mar 21, 2024 pm 02:10 PM

Cet article expliquera en détail comment PHP renvoie un tableau après avoir inversé la valeur de la clé. L'éditeur pense que c'est assez pratique, je le partage donc avec vous comme référence. J'espère que vous pourrez gagner quelque chose après avoir lu cet article. PHP Key Value Flip Array Key Value Flip est une opération sur un tableau qui échange les clés et les valeurs du tableau pour générer un nouveau tableau avec la clé d'origine comme valeur et la valeur d'origine comme clé. Méthode d'implémentation En PHP, vous pouvez effectuer un retournement clé-valeur d'un tableau via les méthodes suivantes : Fonction array_flip() : La fonction array_flip() est spécialement utilisée pour les opérations de retournement clé-valeur. Il reçoit un tableau en argument et renvoie un nouveau tableau avec les clés et les valeurs échangées. $original_array=[

Mar 22, 2024 pm 12:31 PM

Cet article expliquera en détail le codage numérique du message d'erreur renvoyé par PHP lors de l'opération Mysql précédente. L'éditeur pense que c'est assez pratique, je le partage donc avec vous comme référence. J'espère que vous pourrez gagner quelque chose après avoir lu cet article. . Utilisation de PHP pour renvoyer les informations d'erreur MySQL Introduction au codage numérique Lors du traitement des requêtes MySQL, vous pouvez rencontrer des erreurs. Afin de gérer efficacement ces erreurs, il est crucial de comprendre le codage numérique des messages d’erreur. Cet article vous guidera dans l'utilisation de php pour obtenir l'encodage numérique des messages d'erreur Mysql. Méthode d'obtention du codage numérique des informations d'erreur 1. mysqli_errno() La fonction mysqli_errno() renvoie le numéro d'erreur le plus récent de la connexion MySQL actuelle. La syntaxe est la suivante : $erro

PHP détermine si une clé spécifiée existe dans un tableau Mar 21, 2024 pm 09:21 PM

Cet article expliquera en détail comment PHP détermine si une clé spécifiée existe dans un tableau. L'éditeur pense que c'est très pratique, je le partage donc avec vous comme référence. J'espère que vous pourrez gagner quelque chose après avoir lu cet article. PHP détermine si une clé spécifiée existe dans un tableau : En PHP, il existe de nombreuses façons de déterminer si une clé spécifiée existe dans un tableau : 1. Utilisez la fonction isset() : isset($array["key"]) Cette fonction renvoie une valeur booléenne, vraie si la clé spécifiée existe, fausse sinon. 2. Utilisez la fonction array_key_exists() : array_key_exists("key",$arr

PHP obtient pi Mar 21, 2024 pm 01:52 PM

Cet article expliquera en détail comment obtenir pi en PHP. L'éditeur pense que c'est assez pratique, je le partage donc avec vous comme référence. J'espère que vous pourrez gagner quelque chose après avoir lu cet article. Introduction à l'obtention de Pi avec PHP Pi (π) est le rapport entre la circonférence et le diamètre d'un cercle. C'est un nombre irrationnel et ne peut pas être exprimé avec un nombre fini de chiffres. En php, vous pouvez utiliser la fonction intégrée M_PI pour obtenir une valeur approximative de pi. Fonction M_PI La fonction M_PI renvoie une valeur approximative de pi, précise à 14 décimales près. C'est une constante de PHP, vous n'avez donc pas besoin d'utiliser de paramètres pour l'utiliser. Syntaxe de sortie 3.14159265358979 Méthodes alternatives En plus de la fonction M_PI, il existe quelques alternatives

See all articles