PHP開發：如何使用 JWT 進行身份認證和授權

在現代的 Web 應用程式開發中，安全性已經成為了一個不可或缺的部分。在這方面，身分認證和授權是至關重要的，因為它們確保只有授權使用者可以存取受保護的資源。有許多身份認證和授權機制可用，其中 JWT（JSON Web Token）是一種特別流行的機制，因為它簡單、靈活、可擴展且安全。在這篇文章中，我們將探討如何使用 PHP 和 JWT 進行身份認證和授權。

第一部分：JWT 基礎

JSON Web Token（JWT）是一種透過網路安全地傳輸聲明和驗證資訊的開放標準。它由三個部分組成：頭部、負荷和簽名。

頭包含演算法和 token 類型資訊。它的範例可能如下所示：

{
  "alg": "HS256",
  "typ": "JWT"
}

負載包含需要傳輸的資訊。例如，使用者名稱、角色和其他有關使用者資訊。載重的範例可能如下所示：

{
  "sub": "1234567890",
  "name": "John Doe",
  "iat": 1516239022
}

簽章是包含金鑰的加密字串，用於驗證 JWT 是否有效。簽署的範例可能如下所示：

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(claims),
  secret)

第二部分：使用 PHP 實作 JWT

#為了使用 JWT 進行認證和授權，我們需要一個 PHP 類別來產生和驗證 JWT。讓我們來看看一個簡單的 PHP JWT 類別的實作。

<?php

class JWT {
  private $header;
  private $payload;
  private $secret;

  public function __construct($header, $payload, $secret) {
    $this->header = $header;
    $this->payload = $payload;
    $this->secret = $secret;
  }

  public function encode() {
    $header = $this->base64UrlEncode(json_encode($this->header));
    $payload = $this->base64UrlEncode(json_encode($this->payload));
    $signature = $this->base64UrlEncode(hash_hmac('sha256', $header . '.' . $payload, $this->secret, true));
    return $header . '.' . $payload . '.' . $signature;
  }

  public function decode($jwt) {
    $parts = explode('.', $jwt);
    $header = json_decode($this->base64UrlDecode($parts[0]), true);
    $payload = json_decode($this->base64UrlDecode($parts[1]), true);
    $signature = $this->base64UrlDecode($parts[2]);
    $result = hash_hmac('sha256', $parts[0] . '.' . $parts[1], $this->secret, true);
    if (hash_equals($result, $signature)) {
      return $payload;
    } else {
      return null;
    }
  }

  private function base64UrlEncode($data) {
    return rtrim(strtr(base64_encode($data), '+/', '-_'), '=');
  }

  private function base64UrlDecode($data) {
    return base64_decode(str_pad(strtr($data, '-_', '+/'), strlen($data) % 4, '=', STR_PAD_RIGHT));
  }
}

在這個PHP 類別中，$header、$payload 和$secret 儲存了JWT 的頭部、載重和金鑰資訊. encode() 方法使用 header、payload 和 secret 來產生 JWT 字串。 decode() 方法使用給定的 JWT 字串和金鑰來取得負載資訊。

base64UrlEncode() 和 base64UrlDecode() 方法用於編碼和解碼 JWT 的頭部和負載。

第三部分：將 JWT 用於身份認證和授權

現在，我們已經了解了 JWT 的基礎知識，並且有一個 PHP JWT 類別用於生成和驗證 JWT。那麼，我們如何將 JWT 用於身分認證和授權呢？

首先，當使用者登入時，可以使用 JWT 發送一個令牌來驗證他們的身份。伺服器將產生一個帶有使用者名稱和密碼有效載荷的 JWT，並將其發送給客戶端。用戶端將在每個請求中將此令牌作為 Authorization 標頭的 Bearer 認證方案進行傳送。伺服器將從標頭中提取 JWT 並根據需要驗證其有效性。

以下是一個範例JWT 實作用於身份認證和授權：

<?php

// 使用 JWT 登录
function login($username, $password) {
  // 检查用户名和密码是否正确
  $is_valid = validate_user_credentials($username, $password);
  if (!$is_valid) {
    return null;
  }

  // 生成 JWT
  $header = array('alg' => 'HS256', 'typ' => 'JWT');
  $payload = array('sub' => $username);
  $jwt = new JWT($header, $payload, $GLOBALS['secret']);
  $token = $jwt->encode();

  // 返回 JWT
  return $token;
}

// 验证 JWT
function validate_token($jwt) {
  $jwt = new JWT($header, $payload, $GLOBALS['secret']);
  $payload = $jwt->decode($jwt);
  if ($payload == null) {
    return false;
  }

  // 验证成功
  return true;
}

// 保护资源
function protect_resource() {
  // 检查 JWT 是否有效
  $jwt = get_authorization_header();
  if (!validate_token($jwt)) {
    http_response_code(401);
    exit();
  }

  // 资源保护
  // ...
}

// 从标头获取 JWT
function get_authorization_header() {
  $headers = getallheaders();
  if (isset($headers['Authorization'])) {
    return $headers['Authorization'];
  }
  return null;
}

// 检查用户名和密码是否正确
function validate_user_credentials($username, $password) {
  // 验证用户名和密码
  // ...
  return true;
}

// 密钥
$GLOBALS['secret'] = "my-secret";

// 登录并获取 JWT
$token = login("username", "password");

// 将 JWT 添加到标头
$headers = array('Authorization: Bearer ' . $token);

// 保护资源
protect_resource($headers);

在這個範例中，login() 方法使用JWT 類建立一個JWT，並傳回它以便客戶端使用。 validate_token() 方法可以驗證 JWT 的有效性。如果 JWT 無效，將傳回 false。

get_authorization_header() 方法從請求標頭中提取 JWT。 protect_resource() 方法用於保護 Web 資源。如果 JWT 無效，則函數將引發 401 錯誤。

最後，在全域範圍內定義了一個金鑰，$GLOBALS ['secret'] ，它應該是一個長字串。請注意，此密碼是秘密密碼，不應包含在您的程式碼庫中。通常，該金鑰會儲存在環境變數中，並由執行 Web 伺服器的作業系統管理。

結論

JWT 是一個非常簡單、靈活、可擴展且安全的機制，可用於 Web 應用的身份認證和授權。在本文中，我們已經了解了 JWT 的基本原理，並且看到了一個範例 PHP 類，用於生成和驗證 JWT。我們也看到如何將 JWT 用於身份驗證和授權。現在，您可以在自己的 Web 應用程式中嘗試 JWT，以確保您的應用程式在安全性方面更可靠。

以上是PHP開發：如何使用 JWT 進行身份認證和授權的詳細內容。更多資訊請關注PHP中文網其他相關文章！