php怎麼實現響應頭增加token

php實作回應頭增加token的方法：1、在請求的header頭中的Authorization欄位使用Bearer模式新增JWT；2、在伺服器收到請求後，使用JWT規範，進行產生token，返回給客戶端即可。

本教學操作環境：Windows10系統、PHP8.1版、DELL G3電腦

php怎麼實作回應頭增加token ？

php token的生成與使用

1. 為什麼要使用tokent進行登入

前後端分離或為了支援多個web應用，那麼原來的cookies或者session在使用上就會有很大的問題

cookie和session認證需要在同一主域名下才可以進行認證（目前可以把session存儲在redis內進行解決） 。

2. 解決方案

oauth2 和 jwt

jwt ：是一種安全標準。基本想法就是使用者提供使用者名稱和密碼給認證伺服器，伺服器驗證使用者提交資訊資訊的合法性；如果驗證成功，會產生並傳回一個token（令牌）

OAuth2 ：是一個安全的授權框架。它詳細描述了系統中不同角色、使用者、服務前端應用（例如API），以及客戶端（例如網站或行動APP）之間怎麼實現相互認證。

（這裡採用jwt，這種JSON Web Token 這種方式進行認證）

3. 生成方法

頭：加密類型

說明：訊息內容

key：一個隨機碼用來加密

上面三個部分使用.連接起來，然後使用hs256進行加密，產生tokent

4. 詳細產生方法

1). 頭部通常由兩部分組成：令牌的類型（即JWT）和所使用的加密演算法（如：SHA256或RSA）

{
      "alg": "HS256",
      "typ": "JWT"
}

然後，這個json被Base64Url編​​碼，成為第一部分

2). 有效載荷是聲明。聲明是關於實體的部分。

{
      "exp": "1525785339",
      "sub": "1234567890",
      "name": "John Doe",
      "admin": true
}

然後將有效載荷Base64Url進行編碼，成為第二部分

（PS：此資訊儘管受到篡改保護，但是任何人都可以閱讀。除非加密，否則不要將重要訊息放在裡面）

3). 使用一個加密key

4). 簽名，需要使用編碼後的第一部分，編碼後的第二部分，然後一個關鍵的key。採用第一部分的加密演算法進行簽章

HMACSHA256(
          base64UrlEncode(header) + "." + base64UrlEncode(payload),
          key
)

該簽章用於驗證訊息是否有被竄改。

（PHP使用crypt方法進行加密。注意：SHA-256用於防篡改，AES-256用於加密兩個概念不一樣）

5. token存放位置

通常應該在請求的header頭中的Authorization字段使用Bearer模式添加JWT（Authorization: Bearer ） （當然你也可以放在任意位置，如URL後面當成一個參數傳遞，只要客戶端能識別就行，不過既然JWT是個規範，那麼我們最好還是按照規範來）

6. 使用方式

客戶端用戶輸入用戶名密碼後執行登錄，請求token

伺服器收到請求後，使用JWT這種規範，進行產生token，返回給客戶端

客戶端收到token以後，解密後，驗證token的時效性（token的過期時間），保存起來

客戶端拿token請求資料

伺服器收到token解密後，驗證使用者身份，驗證時效性，然後驗證使用者

7. 缺點

1. 無法作廢已頒布的令牌（對token刷新使用期限）

2. 不易處理過期資料（支援token 失效）

所以如果你使用了token ，那麼如果token 被捕獲到，那麼就可以進行偽造進行冒充。所以如果安全比較高的話，還是建議使用oauth2

推薦學習：《PHP影片教學》

以上是php怎麼實現響應頭增加token的詳細內容。更多資訊請關注PHP中文網其他相關文章！