JWTログイン認証の実際のシミュレーションプロセスの全記録-PHPチュートリアル-php.cn

phpエディタBananaによる丁寧なコンパイルを経て、人気の実際の開発シミュレーションプロセスの完全記録であるJWTログイン認証実際のシミュレーションを紹介します。 JWT (JSON Web Token) は認証のオープン標準であり、ユーザーがログインに成功した後にトークン (Token) を生成し、ユーザーはその後の ID 認証リクエストでこのトークンを使用します。この記事では、JWT ログイン認証の実装プロセスを詳細に分析し、包括的な実践的なデモンストレーションを記録することで、JWT の原理と実際の開発への適用方法を理解していただきます。初心者でも経験豊富な開発者でも、この記事から貴重な知識と実践的な経験を得ることができます。

トークン認証プロセス

最も人気のあるクロスドメイン認証ソリューションとして、JWT (JSON WEB Token) は深く愛されています開発者のお気に入りの主なプロセスは次のとおりです。
クライアントはログインするためにアカウントとパスワードのリクエストを送信します。
サーバーはリクエストを受信し、アカウントが正しいかどうかを確認します。パスワードが渡されました
検証が成功した後、サーバーは一意のトークンを生成し、クライアントに返します。
その後、すべてのクライアントがサーバーにリクエストを送信すると、Cookie またはヘッダーを通じてトークンが送信されます。
##サーバーはトークンの有効性を検証し、応答データのみを返します。リクエストを通過した後
トークン認証の利点

クロスドメインアクセスのサポート: Cookie はクロスドメインアクセスを許可しません。これはトークンには存在しません。送信されるユーザー認証情報が通過する場合のメカニズム。

Http

ステートレス: トークン自体にセッション情報が含まれているため、トークンメカニズムはサーバー側にセッション情報を保存する必要はありません。すべてのログインユーザーであり、状態情報をクライアントの Cookie またはローカルメディアに保存するだけで済みます
CSRF を考慮する必要がない: Cookie に依存しなくなったため、トークン認証を使用するときに CSRF が発生しないため、CSRF 防御を考慮する必要がありません
JWT 構造

JWT は実際には

string

?
Header/header

header

は 2 つの部分で構成されます:

トークンのタイプJWTおよびアルゴリズムname:HMac,<strong class="keylink">SHA256</strong>,RSA <div class="code" style="position:relative; padding:0px; margin:0px;"><pre class='brush:php;toolbar:false;'>{ "alg": "HS256", "typ": "JWT" }</pre><div class="contentsignin">ログイン後にコピー</div></div>?

Payload/Payload

##Payload 部分も

jsON です オブジェクト。転送する必要がある実際のデータを保存するために使用されます。 JWT<strong class="keylink"> 選択する 7 つのデフォルトフィールドを指定します。 </strong>デフォルトのフィールドに加えて、必要なフィールドを追加できます。通常、ユーザーが正常にログインすると、ユーザー情報はここに保存されます

iss: 発行者

exp: 有効期限

sub: トピック

aud: ユーザー
nbf: 以前は利用できません
iat: 公開時刻
jti: この JWT を識別するために使用される JWT ID
{
"iss": "xxxxxxx",
"sub": "xxxxxxx",
"aud": "xxxxxxx",
"user": [
	&#39;username&#39;: &#39;极客飞兔&#39;,
	&#39;gender&#39;: 1,
	&#39;nickname&#39;: &#39;飞兔小哥&#39; 
 ] 
}
ログイン後にコピー
?

署名/署名

署名部分は、ヘッダーとペイロードデータの上記 2 つの部分のデータ署名ですデータが改ざんされていないことを確認するには、キーを指定する必要があります。このキーは通常、ユーザーだけが知っており、サーバーに保存されます。
署名を生成するコードは、一般に次のとおりです。

// 其中secret 是密钥
String signature = HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)

ログイン後にコピー

JWT の基本的な使用法

クライアントは、

server

から返された JWT を受け取ります。これは Cookie または localStorage に保存できます。

その後、クライアントはサーバーと通信するたびに、この JWT を取得する必要があります。ドメインを越えることができないように、リクエストを送信するために JWT を Cookie に保存します。
より良いアプローチは、HTTP リクエストのヘッダー情報の Authorization フィールドにこれを含めることです。

fetch(&#39;license/login&#39;, {
	headers: {
		&#39;Authorization&#39;: &#39;X-TOKEN&#39; + token
	}
})

ログイン後にコピー

実際の戦闘: JWT ログイン認証を使用します

ここで使用します

Think

PHP

IntegrationJWT<strong class="keylink"> 実際のシミュレーションのためのログイン認証</strong>? JWT 拡張機能のインストール

composer require firebase/php-jwt

ログイン後にコピー

? JWT を生成するためのカプセル化と復号化メソッド

<?php


namespace app\services;

use app\Helper;
use Firebase\JWT\JWT;
use Firebase\JWT\Key;

class JwtService
{
protected $salt;

public function __construct()
{
//从配置信息这种或取唯一字符串，你可以随便写比如md5(&#39;token&#39;)
$this->salt = config(&#39;jwt.salt&#39;) || "autofelix";
}

// jwt生成
public function generateToken($user)
{
$data = array(
"iss" => &#39;autofelix&#39;,//签发者 可以为空
"aud" => &#39;autofelix&#39;, //面象的用户，可以为空
"iat" => Helper::getTimestamp(), //签发时间
"nbf" => Helper::getTimestamp(), //立马生效
"exp" => Helper::getTimestamp() + 7200, //token 过期时间 两小时
"user" => [ // 记录用户信息
&#39;id&#39; => $user->id,
&#39;username&#39; => $user->username,
&#39;truename&#39; => $user->truename,
&#39;phone&#39; => $user->phone,
&#39;email&#39; => $user->email,
&#39;role_id&#39; => $user->role_id
]
);
$jwt = JWT::encode($data, md5($this->salt), &#39;HS256&#39;);
return $jwt;
}

// jwt解密
public function chekToken($token)
{
JWT::$leeway = 60; //当前时间减去60，把时间留点余地
$decoded = JWT::decode($token, new Key(md5($this->salt), &#39;HS256&#39;));
return $decoded;
}
}

ログイン後にコピー

? ユーザーがログインすると、JWT ID が生成されます

<?php
declare (strict_types=1);

namespace app\controller;

use think\Request;
use app\ResponseCode;
use app\Helper;
use app\model\User as UserModel;
use app\services\JwtService;

class License
{
public function login(Request $request)
{
$data = $request->only([&#39;username&#39;, &#39;passWord&#39;, &#39;code&#39;]);

// ....进行验证的相关逻辑...
$user = UserModel::where(&#39;username&#39;, $data[&#39;username&#39;])->find();
		
		// 验证通过生成 JWT, 返回给前端保存
$token = (new JwtService())->generateToken($user);

return json([
&#39;code&#39; => ResponseCode::SUCCESS,
&#39;message&#39; => &#39;登录成功&#39;,
&#39;data&#39; => [
&#39;token&#39; => $token
]
]);
}
}

ログイン後にコピー

? ミドルウェアはユーザーがログインしているかどうかを確認します

ミドルウェアを middleware.php

<?php
// 全局中间件定义文件
return [
	// ...其他中间件
// JWT验证
\app\middleware\Auth::class
];

ログイン後にコピー

# に登録します##ミドルウェア登録後、権限検証ミドルウェアの検証ロジックを改善します

<div class="lsjlt"><div class="code" style="position:relative; padding:0px; margin:0px;"><pre class='brush:php;toolbar:false;'>&lt;?php
declare (strict_types=1);

namespace app\middleware;

use app\ResponseCode;
use app\services\JwtService;

class Auth
{
private $router_white_list = [&amp;#39;login&amp;#39;];

public function handle($request, \Closure $next)
{
if (!in_array($request-&gt;pathinfo(), $this-&gt;router_white_list)) {
$token = $request-&gt;header(&amp;#39;token&amp;#39;);

try {
	// jwt 验证
$jwt = (new JwtService())-&gt;chekToken($token);
} catch (\Throwable $e) {
return json([
&amp;#39;code&amp;#39; =&gt; ResponseCode::ERROR,
&amp;#39;msg&amp;#39; =&gt; &amp;#39;Token验证失败&amp;#39;
]);
}

$request-&gt;user = $jwt-&gt;user;
}

return $next($request);
}
}</pre><div class="contentsignin">ログイン後にコピー</div></div><h2>附：为什么使用jwt而不使用session</h2>
<ul>
<li>session是将客户端数据储存在服务器的内存，当客服端的数据过多，服务器的内存开销大；</li>
<li>session的数据储存在某台服务器，在<strong class="keylink">分布式</strong>的<strong class="keylink">项目</strong>中无法做到共享；</li>
<li>jwt的<strong class="keylink">安全</strong>性更好。</li>
</ul>
<p>总而言之，如果使用了分布式，切只能在session和jwt里面选的时候，就一定要选jwt。</p>

以上がJWTログイン認証の実際のシミュレーションプロセスの全記録の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。