首頁 後端開發 php教程 PHP開發:如何使用 JWT 進行身份認證和授權

PHP開發:如何使用 JWT 進行身份認證和授權

Jun 14, 2023 pm 04:14 PM
jwt 身份認證 授權

在現代的 Web 應用程式開發中,安全性已經成為了一個不可或缺的部分。在這方面,身分認證和授權是至關重要的,因為它們確保只有授權使用者可以存取受保護的資源。有許多身份認證和授權機制可用,其中 JWT(JSON Web Token)是一種特別流行的機制,因為它簡單、靈活、可擴展且安全。在這篇文章中,我們將探討如何使用 PHP 和 JWT 進行身份認證和授權。

第一部分:JWT 基礎

JSON Web Token(JWT)是一種透過網路安全地傳輸聲明和驗證資訊的開放標準。它由三個部分組成:頭部、負荷和簽名。

頭包含演算法和 token 類型資訊。它的範例可能如下所示:

{
  "alg": "HS256",
  "typ": "JWT"
}
登入後複製

負載包含需要傳輸的資訊。例如,使用者名稱、角色和其他有關使用者資訊。載重的範例可能如下所示:

{
  "sub": "1234567890",
  "name": "John Doe",
  "iat": 1516239022
}
登入後複製

簽章是包含金鑰的加密字串,用於驗證 JWT 是否有效。簽署的範例可能如下所示:

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(claims),
  secret)
登入後複製

第二部分:使用 PHP 實作 JWT

#為了使用 JWT 進行認證和授權,我們需要一個 PHP 類別來產生和驗證 JWT。讓我們來看看一個簡單的 PHP JWT 類別的實作。

<?php

class JWT {
  private $header;
  private $payload;
  private $secret;

  public function __construct($header, $payload, $secret) {
    $this->header = $header;
    $this->payload = $payload;
    $this->secret = $secret;
  }

  public function encode() {
    $header = $this->base64UrlEncode(json_encode($this->header));
    $payload = $this->base64UrlEncode(json_encode($this->payload));
    $signature = $this->base64UrlEncode(hash_hmac('sha256', $header . '.' . $payload, $this->secret, true));
    return $header . '.' . $payload . '.' . $signature;
  }

  public function decode($jwt) {
    $parts = explode('.', $jwt);
    $header = json_decode($this->base64UrlDecode($parts[0]), true);
    $payload = json_decode($this->base64UrlDecode($parts[1]), true);
    $signature = $this->base64UrlDecode($parts[2]);
    $result = hash_hmac('sha256', $parts[0] . '.' . $parts[1], $this->secret, true);
    if (hash_equals($result, $signature)) {
      return $payload;
    } else {
      return null;
    }
  }

  private function base64UrlEncode($data) {
    return rtrim(strtr(base64_encode($data), '+/', '-_'), '=');
  }

  private function base64UrlDecode($data) {
    return base64_decode(str_pad(strtr($data, '-_', '+/'), strlen($data) % 4, '=', STR_PAD_RIGHT));
  }
}
登入後複製

在這個PHP 類別中,$header$payload$secret 儲存了JWT 的頭部、載重和金鑰資訊. encode() 方法使用 headerpayloadsecret 來產生 JWT 字串。 decode() 方法使用給定的 JWT 字串和金鑰來取得負載資訊。

base64UrlEncode()base64UrlDecode() 方法用於編碼和解碼 JWT 的頭部和負載。

第三部分:將 JWT 用於身份認證和授權

現在,我們已經了解了 JWT 的基礎知識,並且有一個 PHP JWT 類別用於生成和驗證 JWT。那麼,我們如何將 JWT 用於身分認證和授權呢?

首先,當使用者登入時,可以使用 JWT 發送一個令牌來驗證他們的身份。伺服器將產生一個帶有使用者名稱和密碼有效載荷的 JWT,並將其發送給客戶端。用戶端將在每個請求中將此令牌作為 Authorization 標頭的 Bearer 認證方案進行傳送。伺服器將從標頭中提取 JWT 並根據需要驗證其有效性。

以下是一個範例JWT 實作用於身份認證和授權:

<?php

// 使用 JWT 登录
function login($username, $password) {
  // 检查用户名和密码是否正确
  $is_valid = validate_user_credentials($username, $password);
  if (!$is_valid) {
    return null;
  }

  // 生成 JWT
  $header = array('alg' => 'HS256', 'typ' => 'JWT');
  $payload = array('sub' => $username);
  $jwt = new JWT($header, $payload, $GLOBALS['secret']);
  $token = $jwt->encode();

  // 返回 JWT
  return $token;
}

// 验证 JWT
function validate_token($jwt) {
  $jwt = new JWT($header, $payload, $GLOBALS['secret']);
  $payload = $jwt->decode($jwt);
  if ($payload == null) {
    return false;
  }

  // 验证成功
  return true;
}

// 保护资源
function protect_resource() {
  // 检查 JWT 是否有效
  $jwt = get_authorization_header();
  if (!validate_token($jwt)) {
    http_response_code(401);
    exit();
  }

  // 资源保护
  // ...
}

// 从标头获取 JWT
function get_authorization_header() {
  $headers = getallheaders();
  if (isset($headers['Authorization'])) {
    return $headers['Authorization'];
  }
  return null;
}

// 检查用户名和密码是否正确
function validate_user_credentials($username, $password) {
  // 验证用户名和密码
  // ...
  return true;
}

// 密钥
$GLOBALS['secret'] = "my-secret";

// 登录并获取 JWT
$token = login("username", "password");

// 将 JWT 添加到标头
$headers = array('Authorization: Bearer ' . $token);

// 保护资源
protect_resource($headers);
登入後複製

在這個範例中,login() 方法使用JWT 類建立一個JWT,並傳回它以便客戶端使用。 validate_token() 方法可以驗證 JWT 的有效性。如果 JWT 無效,將傳回 false。

get_authorization_header() 方法從請求標頭中提取 JWT。 protect_resource() 方法用於保護 Web 資源。如果 JWT 無效,則函數將引發 401 錯誤。

最後,在全域範圍內定義了一個金鑰,$GLOBALS ['secret'] ,它應該是一個長字串。請注意,此密碼是秘密密碼,不應包含在您的程式碼庫中。通常,該金鑰會儲存在環境變數中,並由執行 Web 伺服器的作業系統管理。

結論

JWT 是一個非常簡單、靈活、可擴展且安全的機制,可用於 Web 應用的身份認證和授權。在本文中,我們已經了解了 JWT 的基本原理,並且看到了一個範例 PHP 類,用於生成和驗證 JWT。我們也看到如何將 JWT 用於身份驗證和授權。現在,您可以在自己的 Web 應用程式中嘗試 JWT,以確保您的應用程式在安全性方面更可靠。

以上是PHP開發:如何使用 JWT 進行身份認證和授權的詳細內容。更多資訊請關注PHP中文網其他相關文章!

本網站聲明
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn

熱AI工具

Undresser.AI Undress

Undresser.AI Undress

人工智慧驅動的應用程序,用於創建逼真的裸體照片

AI Clothes Remover

AI Clothes Remover

用於從照片中去除衣服的線上人工智慧工具。

Undress AI Tool

Undress AI Tool

免費脫衣圖片

Clothoff.io

Clothoff.io

AI脫衣器

Video Face Swap

Video Face Swap

使用我們完全免費的人工智慧換臉工具,輕鬆在任何影片中換臉!

熱工具

記事本++7.3.1

記事本++7.3.1

好用且免費的程式碼編輯器

SublimeText3漢化版

SublimeText3漢化版

中文版,非常好用

禪工作室 13.0.1

禪工作室 13.0.1

強大的PHP整合開發環境

Dreamweaver CS6

Dreamweaver CS6

視覺化網頁開發工具

SublimeText3 Mac版

SublimeText3 Mac版

神級程式碼編輯軟體(SublimeText3)

如何將win10企業版2016長期服務版升級為專業版 如何將win10企業版2016長期服務版升級為專業版 Jan 03, 2024 pm 11:26 PM

當我們不想要繼續使用目前的win10企業版2016長期服務版的時候可以選擇切換成專業版,方法也很簡單,只需要改一些內容然後進行系統鏡像的安裝就可以了。 win10企業版2016長期服務版怎麼改專業版1、按下win+R,然後輸入「regedit」2、直接在上面的網址列裡面貼上下面的這個路徑:電腦\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion3 、然後找到EditionID,將裡面的內容替換成「professional」確

如何在PHP中使用JWT和JWE進行API身份驗證和加密 如何在PHP中使用JWT和JWE進行API身份驗證和加密 Jun 17, 2023 pm 02:42 PM

隨著網路的發展,越來越多的網站和應用需要提供API介面來進行資料互動。在這種情況下,API身份驗證和加密成為了非常重要的問題。而JWT和JWE作為一種流行的身份驗證和加密機制,在PHP的應用也越來越廣泛。那麼,本文將介紹如何在PHP中使用JWT和JWE進行API身份驗證和加密。 JWT的基本概念JWT代表JSONWe

PHP中的安全JWT令牌產生與驗證技術解析 PHP中的安全JWT令牌產生與驗證技術解析 Jul 01, 2023 pm 06:06 PM

PHP中的安全JWT令牌產生與驗證技術解析隨著網路應用的發展,使用者身份驗證與授權變得越來越重要。 JsonWebToken(JWT)是一種用於在網路應用中安全傳輸資訊的開放標準(RFC7519)。在PHP開發中,使用JWT令牌來實現使用者身份驗證和授權已成為一種常見的做法。本文將介紹PHP中的安全JWT令牌產生與驗證技術。一、JWT基礎知識在了解如何生成與

如何使用ThinkPHP6進行JWT認證? 如何使用ThinkPHP6進行JWT認證? Jun 12, 2023 pm 12:18 PM

JWT(JSONWebToken)是一種輕量級的認證和授權機制,它使用JSON物件作為安全令牌,可以在多個系統之間安全地傳輸使用者身分資訊。而ThinkPHP6是一種基於PHP語言的高效、靈活的MVC框架,它提供了許多有用的工具和功能,其中就包括JWT認證機制。在本文中,我們將介紹如何使用ThinkPHP6進行JWT認證,以確保Web應用程式的安全性與可靠

PHP中的OAuth:建立一個JWT授權伺服器 PHP中的OAuth:建立一個JWT授權伺服器 Jul 28, 2023 pm 05:27 PM

PHP中的OAuth:創建一個JWT授權伺服器隨著行動應用和前後端分離的趨勢的興起,OAuth成為了現代Web應用中不可或缺的一部分。 OAuth是一種授權協議,透過提供標準化的流程和機制,用於保護使用者的資源免受未經授權的存取。在本文中,我們將學習如何使用PHP建立一個基於JWT(JSONWebTokens)的OAuth授權伺服器。 JWT是一種用於在網路中

Vue.js實作登入驗證的完整指南(API、JWT、axios) Vue.js實作登入驗證的完整指南(API、JWT、axios) Jun 09, 2023 pm 04:04 PM

Vue.js是一種流行的JavaScript框架,用於建立動態網路應用程式。實現使用者登入驗證是開發網頁應用程式的必要部分之一。本文將介紹使用Vue.js、API、JWT和axios實作登入驗證的完整指南。創建Vue.js應用程式首先,我們需要建立一個新的Vue.js應用程式。我們可以使用VueCLI或手動建立一個Vue.js應用程式。安裝axiosax

Beego中使用JWT實現身份驗證 Beego中使用JWT實現身份驗證 Jun 22, 2023 pm 12:44 PM

隨著互聯網和行動互聯網的快速發展,越來越多的應用需要進行身份驗證和權限控制,而JWT(JSONWebToken)作為一種輕量級的身份驗證和授權機制,在WEB應用中被廣泛應用。 Beego是基於Go語言的MVC框架,具有高效、簡潔、可擴展等優點,本文將介紹如何在Beego中使用JWT實現身份驗證。一、JWT簡介JSONWebToken(JWT)是一種

如何使用Flask-Security實現使用者認證和授權 如何使用Flask-Security實現使用者認證和授權 Aug 04, 2023 pm 02:40 PM

如何使用Flask-Security實現使用者認證和授權引言:在現代的網路應用程式中,使用者認證和授權是必不可少的功能。為了簡化這個過程,Flask-Security是一個非常有用的擴展,它提供了一系列工具和功能,使用戶認證和授權變得簡單而便捷。本文將介紹如何使用Flask-Security來實現使用者認證和授權。一、安裝Flask-Security擴充:在開始

See all articles