この記事では、JWT とは何ですか? JWT を簡単に理解することは一定の参考になるので、困っている友人が参考になれば幸いです。
私は 2 日前に Web 認証を行うまで、jwt について詳しく調べたことがありませんでしたが、友人から jwt を勧められました。そのとき初めて、jwt が広くみんなに使われていることを知りました。少し外れたようです。はは、世界を利用してこれをよく見てください。
JWT (JSON Web Token) は、その名のとおり、Web 上で送信できるトークンであり、JSON 形式でフォーマットされています。これは、異なるエンティティ間で情報を JSON 形式で安全に送信するためのコンパクトで自己完結型の方法を定義するオープン ソース標準 (RFC 7519) です。現在、多くのプロジェクトではフロントエンドとバックエンドが分離されているため、Restful API モードになっています。したがって、従来のセッションモードでは認証要件を満たすことができず、このとき jwt の役割が登場します。 RESTful API 認証は、JWT の優れた適用シナリオであると言えます。
以下は小さなデモです
<?php require_once 'src/JWT.php'; header('Content-type:application/json'); //定义Key const KEY = 'dasjdkashdwqe1213dsfsn;p'; $user = [ 'uid'=>'dadsa-12312-vsd1s1-fsds', 'account'=>'daisc', 'password'=>'123456' ]; $redis = redis(); $action = $_GET['action']; switch ($action) { case 'login': login(); break; case 'info': info(); break; } //登陆,写入验证token function login() { global $user; $account = $_GET['account']; $pwd = $_GET['password']; $res = []; if($account==$user['account']&&$pwd==$user['password']) { unset($user['password']); $time = time(); $token = [ 'iss'=>'http://test.cc',//签发者 'iat'=>$time, 'exp'=>$time+60, 'data'=>$user ]; $jwt = \Firebase\JWT\JWT::encode($token,KEY); $res['code'] = 200; $res['message'] = '登录成功'; $res['jwt'] = $jwt; } else { $res['message']= '用户名或密码错误'; $res['code'] = 401; } exit(json_encode($res)); } function info() { $jwt = $_SERVER['HTTP_AUTHORIZATION'] ?? false; $res['code'] = 200; if($jwt) { $jwt = str_replace('Bearer ','',$jwt); if(empty($jwt)) { $res['code'] = 401; $res['msg'] = 'You do not have permission to access.'; exit(json_encode($res)); } try{ $token = (array) \Firebase\JWT\JWT::decode($jwt,KEY, ['HS256']); if($token['exp']<time()) { $res['code'] = 401; $res['msg'] = '登录超时,请重新登录'; } $res['data']= $token['data']; }catch (\Exception $E) { $res['code'] = 401; $res['msg'] = '登录超时,请重新登录.'; } } else { $res['code'] = 401; $res['msg'] = 'You do not have permission to access.'; } exit(json_encode($res)); } //连接redis function redis() { $redis = new Redis(); $redis->connect('127.0.0.1'); return $redis; }
この dmeo は jwt を使用して簡単な認証を実行します。 php-jwt 暗号化パッケージが使用されます。https://github.com/firebase/php-jwt
ここで、KEY は定義された秘密キーであり、jwt の署名部分です。これは保存する必要があります。
php-jwt パッケージのヘッダー部分が完成しました。暗号化コードは次のとおりです。
*/ public static function encode($payload, $key, $alg = 'HS256', $keyId = null, $head = null) { $header = array('typ' => 'JWT', 'alg' => $alg); if ($keyId !== null) { $header['kid'] = $keyId; } if ( isset($head) && is_array($head) ) { $header = array_merge($head, $header); } $segments = array(); $segments[] = static::urlsafeB64Encode(static::jsonEncode($header)); $segments[] = static::urlsafeB64Encode(static::jsonEncode($payload)); $signing_input = implode('.', $segments); $signature = static::sign($signing_input, $key, $alg); $segments[] = static::urlsafeB64Encode($signature); return implode('.', $segments); }
デフォルトの暗号化方式が HS256 であることがわかります。これが jwt が安全である理由でもあります。現段階では、HS256 暗号化は依然として非常に安全です。
このパッケージは証明書の暗号化もサポートしています。
このパッケージにより、暗号化と復号化のプロセスが完了しました。したがって、jwt で poyload 部分を定義するだけで済みます。それがデモのトークン部分です。暗号化が成功すると、暗号化された JWT 文字列が取得されるので、フロントエンドは次回 API をリクエストするときに、この JWT 文字列を認証として運ぶ必要があります。
ヘッダーに「認証」を追加します。サーバー側の検証中に、応答の有効性を検証するためにこの値が取得されます。
以下は、poyload の一般的な構成の一部です。
$token = [ #非必须。issuer 请求实体,可以是发起请求的用户的信息,也可是jwt的签发者。 "iss" => "http://example.org", #非必须。issued at。 token创建时间,unix时间戳格式 "iat" => $_SERVER['REQUEST_TIME'], #非必须。expire 指定token的生命周期。unix时间戳格式 "exp" => $_SERVER['REQUEST_TIME'] + 7200, #非必须。接收该JWT的一方。 "aud" => "http://example.com", #非必须。该JWT所面向的用户 "sub" => "jrocket@example.com", # 非必须。not before。如果当前时间在nbf里的时间之前,则Token不被接受;一般都会留一些余地,比如几分钟。 "nbf" => 1357000000, # 非必须。JWT ID。针对当前token的唯一标识 "jti" => '222we', # 自定义字段 "GivenName" => "Jonny", # 自定义字段 "name" => "Rocket", # 自定义字段 "Email" => "jrocket@example.com", ];
それに含まれる構成は自由に構成することも、自分で他の構成を追加することもできます。これらはインターネット上では誰もが共通して利用するものであり、一種の規約とも言えます。
以上がJWTとは何ですか? JWT についての簡単な理解の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。