PHP開發:如何使用 JWT 進行身份認證和授權
在現代的 Web 應用程式開發中,安全性已經成為了一個不可或缺的部分。在這方面,身分認證和授權是至關重要的,因為它們確保只有授權使用者可以存取受保護的資源。有許多身份認證和授權機制可用,其中 JWT(JSON Web Token)是一種特別流行的機制,因為它簡單、靈活、可擴展且安全。在這篇文章中,我們將探討如何使用 PHP 和 JWT 進行身份認證和授權。
第一部分:JWT 基礎
JSON Web Token(JWT)是一種透過網路安全地傳輸聲明和驗證資訊的開放標準。它由三個部分組成:頭部、負荷和簽名。
頭包含演算法和 token 類型資訊。它的範例可能如下所示:
{ "alg": "HS256", "typ": "JWT" }
負載包含需要傳輸的資訊。例如,使用者名稱、角色和其他有關使用者資訊。載重的範例可能如下所示:
{ "sub": "1234567890", "name": "John Doe", "iat": 1516239022 }
簽章是包含金鑰的加密字串,用於驗證 JWT 是否有效。簽署的範例可能如下所示:
HMACSHA256( base64UrlEncode(header) + "." + base64UrlEncode(claims), secret)
第二部分:使用 PHP 實作 JWT
#為了使用 JWT 進行認證和授權,我們需要一個 PHP 類別來產生和驗證 JWT。讓我們來看看一個簡單的 PHP JWT 類別的實作。
<?php class JWT { private $header; private $payload; private $secret; public function __construct($header, $payload, $secret) { $this->header = $header; $this->payload = $payload; $this->secret = $secret; } public function encode() { $header = $this->base64UrlEncode(json_encode($this->header)); $payload = $this->base64UrlEncode(json_encode($this->payload)); $signature = $this->base64UrlEncode(hash_hmac('sha256', $header . '.' . $payload, $this->secret, true)); return $header . '.' . $payload . '.' . $signature; } public function decode($jwt) { $parts = explode('.', $jwt); $header = json_decode($this->base64UrlDecode($parts[0]), true); $payload = json_decode($this->base64UrlDecode($parts[1]), true); $signature = $this->base64UrlDecode($parts[2]); $result = hash_hmac('sha256', $parts[0] . '.' . $parts[1], $this->secret, true); if (hash_equals($result, $signature)) { return $payload; } else { return null; } } private function base64UrlEncode($data) { return rtrim(strtr(base64_encode($data), '+/', '-_'), '='); } private function base64UrlDecode($data) { return base64_decode(str_pad(strtr($data, '-_', '+/'), strlen($data) % 4, '=', STR_PAD_RIGHT)); } }
在這個PHP 類別中,$header
、$payload
和$secret
儲存了JWT 的頭部、載重和金鑰資訊. encode()
方法使用 header
、payload
和 secret
來產生 JWT 字串。 decode()
方法使用給定的 JWT 字串和金鑰來取得負載資訊。
base64UrlEncode()
和 base64UrlDecode()
方法用於編碼和解碼 JWT 的頭部和負載。
第三部分:將 JWT 用於身份認證和授權
現在,我們已經了解了 JWT 的基礎知識,並且有一個 PHP JWT 類別用於生成和驗證 JWT。那麼,我們如何將 JWT 用於身分認證和授權呢?
首先,當使用者登入時,可以使用 JWT 發送一個令牌來驗證他們的身份。伺服器將產生一個帶有使用者名稱和密碼有效載荷的 JWT,並將其發送給客戶端。用戶端將在每個請求中將此令牌作為 Authorization 標頭的 Bearer 認證方案進行傳送。伺服器將從標頭中提取 JWT 並根據需要驗證其有效性。
以下是一個範例JWT 實作用於身份認證和授權:
<?php // 使用 JWT 登录 function login($username, $password) { // 检查用户名和密码是否正确 $is_valid = validate_user_credentials($username, $password); if (!$is_valid) { return null; } // 生成 JWT $header = array('alg' => 'HS256', 'typ' => 'JWT'); $payload = array('sub' => $username); $jwt = new JWT($header, $payload, $GLOBALS['secret']); $token = $jwt->encode(); // 返回 JWT return $token; } // 验证 JWT function validate_token($jwt) { $jwt = new JWT($header, $payload, $GLOBALS['secret']); $payload = $jwt->decode($jwt); if ($payload == null) { return false; } // 验证成功 return true; } // 保护资源 function protect_resource() { // 检查 JWT 是否有效 $jwt = get_authorization_header(); if (!validate_token($jwt)) { http_response_code(401); exit(); } // 资源保护 // ... } // 从标头获取 JWT function get_authorization_header() { $headers = getallheaders(); if (isset($headers['Authorization'])) { return $headers['Authorization']; } return null; } // 检查用户名和密码是否正确 function validate_user_credentials($username, $password) { // 验证用户名和密码 // ... return true; } // 密钥 $GLOBALS['secret'] = "my-secret"; // 登录并获取 JWT $token = login("username", "password"); // 将 JWT 添加到标头 $headers = array('Authorization: Bearer ' . $token); // 保护资源 protect_resource($headers);
在這個範例中,login()
方法使用JWT
類建立一個JWT,並傳回它以便客戶端使用。 validate_token()
方法可以驗證 JWT 的有效性。如果 JWT 無效,將傳回 false。
get_authorization_header()
方法從請求標頭中提取 JWT。 protect_resource()
方法用於保護 Web 資源。如果 JWT 無效,則函數將引發 401 錯誤。
最後,在全域範圍內定義了一個金鑰,$GLOBALS ['secret']
,它應該是一個長字串。請注意,此密碼是秘密密碼,不應包含在您的程式碼庫中。通常,該金鑰會儲存在環境變數中,並由執行 Web 伺服器的作業系統管理。
結論
JWT 是一個非常簡單、靈活、可擴展且安全的機制,可用於 Web 應用的身份認證和授權。在本文中,我們已經了解了 JWT 的基本原理,並且看到了一個範例 PHP 類,用於生成和驗證 JWT。我們也看到如何將 JWT 用於身份驗證和授權。現在,您可以在自己的 Web 應用程式中嘗試 JWT,以確保您的應用程式在安全性方面更可靠。
以上是PHP開發:如何使用 JWT 進行身份認證和授權的詳細內容。更多資訊請關注PHP中文網其他相關文章!

熱AI工具

Undresser.AI Undress
人工智慧驅動的應用程序,用於創建逼真的裸體照片

AI Clothes Remover
用於從照片中去除衣服的線上人工智慧工具。

Undress AI Tool
免費脫衣圖片

Clothoff.io
AI脫衣器

Video Face Swap
使用我們完全免費的人工智慧換臉工具,輕鬆在任何影片中換臉!

熱門文章

熱工具

記事本++7.3.1
好用且免費的程式碼編輯器

SublimeText3漢化版
中文版,非常好用

禪工作室 13.0.1
強大的PHP整合開發環境

Dreamweaver CS6
視覺化網頁開發工具

SublimeText3 Mac版
神級程式碼編輯軟體(SublimeText3)

當我們不想要繼續使用目前的win10企業版2016長期服務版的時候可以選擇切換成專業版,方法也很簡單,只需要改一些內容然後進行系統鏡像的安裝就可以了。 win10企業版2016長期服務版怎麼改專業版1、按下win+R,然後輸入「regedit」2、直接在上面的網址列裡面貼上下面的這個路徑:電腦\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion3 、然後找到EditionID,將裡面的內容替換成「professional」確

隨著網路的發展,越來越多的網站和應用需要提供API介面來進行資料互動。在這種情況下,API身份驗證和加密成為了非常重要的問題。而JWT和JWE作為一種流行的身份驗證和加密機制,在PHP的應用也越來越廣泛。那麼,本文將介紹如何在PHP中使用JWT和JWE進行API身份驗證和加密。 JWT的基本概念JWT代表JSONWe

PHP中的安全JWT令牌產生與驗證技術解析隨著網路應用的發展,使用者身份驗證與授權變得越來越重要。 JsonWebToken(JWT)是一種用於在網路應用中安全傳輸資訊的開放標準(RFC7519)。在PHP開發中,使用JWT令牌來實現使用者身份驗證和授權已成為一種常見的做法。本文將介紹PHP中的安全JWT令牌產生與驗證技術。一、JWT基礎知識在了解如何生成與

JWT(JSONWebToken)是一種輕量級的認證和授權機制,它使用JSON物件作為安全令牌,可以在多個系統之間安全地傳輸使用者身分資訊。而ThinkPHP6是一種基於PHP語言的高效、靈活的MVC框架,它提供了許多有用的工具和功能,其中就包括JWT認證機制。在本文中,我們將介紹如何使用ThinkPHP6進行JWT認證,以確保Web應用程式的安全性與可靠

PHP中的OAuth:創建一個JWT授權伺服器隨著行動應用和前後端分離的趨勢的興起,OAuth成為了現代Web應用中不可或缺的一部分。 OAuth是一種授權協議,透過提供標準化的流程和機制,用於保護使用者的資源免受未經授權的存取。在本文中,我們將學習如何使用PHP建立一個基於JWT(JSONWebTokens)的OAuth授權伺服器。 JWT是一種用於在網路中

Vue.js是一種流行的JavaScript框架,用於建立動態網路應用程式。實現使用者登入驗證是開發網頁應用程式的必要部分之一。本文將介紹使用Vue.js、API、JWT和axios實作登入驗證的完整指南。創建Vue.js應用程式首先,我們需要建立一個新的Vue.js應用程式。我們可以使用VueCLI或手動建立一個Vue.js應用程式。安裝axiosax

隨著互聯網和行動互聯網的快速發展,越來越多的應用需要進行身份驗證和權限控制,而JWT(JSONWebToken)作為一種輕量級的身份驗證和授權機制,在WEB應用中被廣泛應用。 Beego是基於Go語言的MVC框架,具有高效、簡潔、可擴展等優點,本文將介紹如何在Beego中使用JWT實現身份驗證。一、JWT簡介JSONWebToken(JWT)是一種

如何使用Flask-Security實現使用者認證和授權引言:在現代的網路應用程式中,使用者認證和授權是必不可少的功能。為了簡化這個過程,Flask-Security是一個非常有用的擴展,它提供了一系列工具和功能,使用戶認證和授權變得簡單而便捷。本文將介紹如何使用Flask-Security來實現使用者認證和授權。一、安裝Flask-Security擴充:在開始
