JWT登录认证实战模拟过程全纪录

经过php小编香蕉精心整理，我们为大家介绍一款热门的实战开发模拟过程全纪录——JWT登录认证实战模拟。JWT（JSON Web Token）是一种用于认证的开放标准，它通过在用户登录成功后生成一个令牌（Token），用户在后续的请求中携带这个令牌来进行身份认证。本文将深入剖析JWT登录认证的实现过程，并提供全面的实战演示录音，在这个过程中，我们将带您了解JWT的原理以及如何在实际开发中应用。无论你是初学者还是有经验的开发者，都能从本文中获得有价值的知识和实战经验。

Token 认证流程

• 作为目前最流行的跨域认证解决方案，JWT（JSON WEB Token） 深受开发者的喜爱，主要流程如下：
• 客户端发送账号和密码请求登录
• 服务端收到请求，验证账号密码是否通过
• 验证成功后，服务端会生成唯一的 token，并将其返回给客户端
• 客户端接受到 token，将其存储在 cookie 或者 localStroge 中
• 之后每一次客户端向服务端发送请求，都会通过 cookie 或者header 携带该 token

• 服务端验证 token 的有效性，通过才返回响应的数据

Token 认证优点

• 支持跨域访问：Cookie 是不允许跨域访问的，这一点对 Token 机制是不存在的，前提是传输的用户认证信息通过 Http 头传输
• 无状态： Token 机制在服务端不需要存储 session 信息，因为 Token 自身包含了所有登录用户的信息，只需要在客户端的 cookie 或本地介质存储状态信息
• 适用性更广： 只要是支持 http 协议的客户端，就可以使用 token 认证。
• 无需考虑CSRF： 由于不再依赖 cookie，所以采用 token 认证方式不会发生 CSRF，所以也就无需考虑 CSRF 的防御

JWT 结构

• 一个 JWT 实际上就是一个字符串，它由三部分组成：头部、载荷与签名。中间用点 . 分隔成三个部分。注意 JWT 内部是没有换行的。

? 头部 / header

header 由两部分组成： token 的类型 JWT 和算法名称：H<strong class="keylink">Mac</strong>、SHA256、RSA

{
"alg": "HS256",
"typ": "JWT"
}

? 载荷 / Payload

Payload 部分也是一个 <strong class="keylink">js</strong>ON 对象，用来存放实际需要传递的数据。JWT 指定七个默认字段供选择。

除了默认字段之外，你完全可以添加自己想要的任何字段，一般用户登录成功后，就将用户信息存放在这里

iss：发行人
exp：到期时间
sub：主题
aud：用户
nbf：在此之前不可用
iat：发布时间
jti：JWT ID用于标识该JWT

{
"iss": "xxxxxxx",
"sub": "xxxxxxx",
"aud": "xxxxxxx",
"user": [
	'username': '极客飞兔',
	'gender': 1,
	'nickname': '飞兔小哥' 
 ] 
}

• ? 签名 / Signature
• 签名部分是对上面的 头部、载荷 两部分数据进行的数据签名
• 为了保证数据不被篡改，则需要指定一个密钥，而这个密钥一般只有你知道，并且存放在服务端
• 生成签名的代码一般如下：

// 其中secret 是密钥
String signature = HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)

JWT 基本使用

• 客户端收到服务器返回的 JWT，可以储存在 Cookie 里面， 也可以储存在 localStorage
• 然后 客户端每次与服务器通信，都要带上这个 JWT
• 把 JWT 保存在 Cookie 里面发送请求，这样不能跨域
• 更好的做法是放在 HTTP 请求的头信息 Authorization 字段里面

fetch('license/login', {
	headers: {
		'Authorization': 'X-TOKEN' + token
	}
})

实战：使用 JWT 登录认证

这里使用 Think<strong class="keylink">PHP</strong>6 整合 JWT 登录认证进行实战模拟

? 安装 JWT 扩展

composer require firebase/php-jwt

? 封装生成 JWT 和解密方法

<?php


namespace app\services;

use app\Helper;
use Firebase\JWT\JWT;
use Firebase\JWT\Key;

class JwtService
{
protected $salt;

public function __construct()
{
//从配置信息这种或取唯一字符串，你可以随便写比如md5(&#39;token&#39;)
$this->salt = config(&#39;jwt.salt&#39;) || "autofelix";
}

// jwt生成
public function generateToken($user)
{
$data = array(
"iss" => &#39;autofelix&#39;,//签发者 可以为空
"aud" => &#39;autofelix&#39;, //面象的用户，可以为空
"iat" => Helper::getTimestamp(), //签发时间
"nbf" => Helper::getTimestamp(), //立马生效
"exp" => Helper::getTimestamp() + 7200, //token 过期时间 两小时
"user" => [ // 记录用户信息
&#39;id&#39; => $user->id,
&#39;username&#39; => $user->username,
&#39;truename&#39; => $user->truename,
&#39;phone&#39; => $user->phone,
&#39;email&#39; => $user->email,
&#39;role_id&#39; => $user->role_id
]
);
$jwt = JWT::encode($data, md5($this->salt), &#39;HS256&#39;);
return $jwt;
}

// jwt解密
public function chekToken($token)
{
JWT::$leeway = 60; //当前时间减去60，把时间留点余地
$decoded = JWT::decode($token, new Key(md5($this->salt), &#39;HS256&#39;));
return $decoded;
}
}

? 用户登录后，生成 JWT 标识

<?php
declare (strict_types=1);

namespace app\controller;

use think\Request;
use app\ResponseCode;
use app\Helper;
use app\model\User as UserModel;
use app\services\JwtService;

class License
{
public function login(Request $request)
{
$data = $request->only([&#39;username&#39;, &#39;passWord&#39;, &#39;code&#39;]);

// ....进行验证的相关逻辑...
$user = UserModel::where(&#39;username&#39;, $data[&#39;username&#39;])->find();
		
		// 验证通过生成 JWT, 返回给前端保存
$token = (new JwtService())->generateToken($user);

return json([
&#39;code&#39; => ResponseCode::SUCCESS,
&#39;message&#39; => &#39;登录成功&#39;,
&#39;data&#39; => [
&#39;token&#39; => $token
]
]);
}
}

? 中间件验证用户是否登录

在 middleware.php 注册中间件

<?php
// 全局中间件定义文件
return [
	// ...其他中间件
// JWT验证
\app\middleware\Auth::class
];

注册中间件后，在权限验证中间件中完善验证逻辑

<?php
declare (strict_types=1);

namespace app\middleware;

use app\ResponseCode;
use app\services\JwtService;

class Auth
{
private $router_white_list = [&#39;login&#39;];

public function handle($request, \Closure $next)
{
if (!in_array($request->pathinfo(), $this->router_white_list)) {
$token = $request->header(&#39;token&#39;);

try {
	// jwt 验证
$jwt = (new JwtService())->chekToken($token);
} catch (\Throwable $e) {
return json([
&#39;code&#39; => ResponseCode::ERROR,
&#39;msg&#39; => &#39;Token验证失败&#39;
]);
}

$request->user = $jwt->user;
}

return $next($request);
}
}

附：为什么使用jwt而不使用session

• session是将客户端数据储存在服务器的内存，当客服端的数据过多，服务器的内存开销大；
• session的数据储存在某台服务器，在分布式的项目中无法做到共享；
• jwt的安全性更好。

总而言之，如果使用了分布式，切只能在session和jwt里面选的时候，就一定要选jwt。

以上是JWT登录认证实战模拟过程全纪录的详细内容。更多信息请关注PHP中文网其他相关文章！

本站声明

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

热AI工具

Undresser.AI Undress

人工智能驱动的应用程序，用于创建逼真的裸体照片

AI Clothes Remover

用于从照片中去除衣服的在线人工智能工具。

Undress AI Tool

免费脱衣服图片

Clothoff.io

AI脱衣机

AI Hentai Generator

免费生成ai无尽的。

显示更多

热门文章

R.E.P.O.能量晶体解释及其做什么（黄色晶体）

4 周前 By 尊渡假赌尊渡假赌尊渡假赌

R.E.P.O.最佳图形设置

4 周前 By 尊渡假赌尊渡假赌尊渡假赌

刺客信条阴影：贝壳谜语解决方案

2 周前 By DDD

R.E.P.O.如果您听不到任何人，如何修复音频

4 周前 By 尊渡假赌尊渡假赌尊渡假赌

WWE 2K25：如何解锁Myrise中的所有内容

1 个月前 By 尊渡假赌尊渡假赌尊渡假赌

显示更多

热工具

记事本++7.3.1

好用且免费的代码编辑器

SublimeText3汉化版

中文版，非常好用

禅工作室 13.0.1

功能强大的PHP集成开发环境

Dreamweaver CS6

视觉化网页开发工具

SublimeText3 Mac版

神级代码编辑软件(SublimeText3)

显示更多

热门话题

gmail邮箱登陆入口在哪里

7517

15

CakePHP 教程

1378

52

steam的账户名称是什么格式

79

11

win11激活密钥永久

53

19

NYT连接提示和答案

21

66

显示更多

Related knowledge

PHP将行格式化为 CSV 并写入文件指针 Mar 22, 2024 am 09:00 AM

这篇文章将为大家详细讲解有关PHP将行格式化为CSV并写入文件指针，小编觉得挺实用的，因此分享给大家做个参考，希望大家阅读完这篇文章后可以有所收获。将行格式化为CSV并写入文件指针步骤1：打开文件指针$file=fopen("path/to/file.csv","w");步骤2：将行转换为CSV字符串使用fputcsv()函数将行转换为CSV字符串。该函数接受以下参数：$file:文件指针$fields:作为数组的CSV字段$delimiter:字段分隔符（可选）$enclosure:字段引号（

PHP改变当前的 umask Mar 22, 2024 am 08:41 AM

这篇文章将为大家详细讲解有关PHP改变当前的umask，小编觉得挺实用的，因此分享给大家做个参考，希望大家阅读完这篇文章后可以有所收获。PHP更改当前的umask概述umask是一个用于设置新创建的文件和目录的默认文件权限的php函数。它接受一个参数，这是一个八进制数字，表示要阻止的权限。例如，要阻止对新创建的文件进行写入权限，可以使用002。更改umask的方法有两种方法可以更改PHP中的当前umask：使用umask()函数：umask()函数直接更改当前umask。其语法为：intumas

PHP计算文件的 MD5 散列 Mar 21, 2024 pm 01:42 PM

这篇文章将为大家详细讲解有关PHP计算文件的MD5散列，小编觉得挺实用的，因此分享给大家做个参考，希望大家阅读完这篇文章后可以有所收获。PHP计算文件的MD5散列MD5（MessageDigest5）是一种单向加密算法，可将任意长度的消息转换为固定长度的128位哈希值。它广泛用于确保文件完整性、验证数据真实性和创建数字签名。在PHP中计算文件的MD5散列php提供了多种方法来计算文件的MD5散列：使用md5_file()函数md5_file()函数直接计算文件的MD5哈希值，返回一个32个字符的

PHP返回一个键值翻转后的数组 Mar 21, 2024 pm 02:10 PM

这篇文章将为大家详细讲解有关PHP返回一个键值翻转后的数组，小编觉得挺实用的，因此分享给大家做个参考，希望大家阅读完这篇文章后可以有所收获。PHP键值翻转数组键值翻转是一种对数组进行的操作，它将数组中的键和值进行交换，生成一个新的数组，其中原始键作为值，原始值作为键。实现方法在php中，可以通过以下方法对数组进行键值翻转：array_flip()函数：array_flip()函数专门用于键值翻转操作。它接收一个数组作为参数，并返回一个新的数组，其中键和值已交换。$original_array=[

PHP判断某个数组中是否存在指定的key Mar 21, 2024 pm 09:21 PM

这篇文章将为大家详细讲解有关PHP判断某个数组中是否存在指定的key，小编觉得挺实用的，因此分享给大家做个参考，希望大家阅读完这篇文章后可以有所收获。PHP判断某个数组中是否存在指定的key：在php中，判断某个数组中是否存在指定的key的方法有多种：1.使用isset()函数：isset($array["key"])该函数返回布尔值，如果指定的key存在，则返回true，否则返回false。2.使用array_key_exists()函数：array_key_exists("key",$arr

PHP返回上一个 MySQL 操作中的错误信息的数字编码 Mar 22, 2024 pm 12:31 PM

这篇文章将为大家详细讲解有关PHP返回上一个Mysql操作中的错误信息的数字编码，小编觉得挺实用的，因此分享给大家做个参考，希望大家阅读完这篇文章后可以有所收获。利用PHP返回MySQL错误信息数字编码引言在处理mysql查询时，可能会遇到错误。为了有效处理这些错误，了解错误信息数字编码至关重要。本文将指导您使用php获取Mysql错误信息数字编码。获取错误信息数字编码的方法1.mysqli_errno()mysqli_errno()函数返回当前MySQL连接的最近错误号码。语法如下：$erro

PHP获得圆周率 Mar 21, 2024 pm 01:52 PM

这篇文章将为大家详细讲解有关PHP获得圆周率，小编觉得挺实用的，因此分享给大家做个参考，希望大家阅读完这篇文章后可以有所收获。PHP获取圆周率简介圆周率（π）是圆的周长与直径之比，是一个无理数，无法用有限位数表示。在php中，可以使用内置函数M_PI获取圆周率的近似值。M_PI函数M_PI函数返回圆周率的近似值，精确到小数点后14位。它是PHP的常量，因此无需使用任何参数即可使用它。语法输出3.14159265358979替代方法除了M_PI函数，还有一些替代方

前端和后端开发的区别及联系 Mar 26, 2024 am 09:24 AM

前端和后端开发是构建一个完整网络应用所必不可少的两个方面，它们之间有着明显的区别，但又密切联系在一起。本文将分析前端和后端开发的区别及联系。首先，我们来看一下前端开发和后端开发的具体定义和任务。前端开发主要负责构建用户界面和用户交互部分，即用户在浏览器中所看到和操作的内容。前端开发人员通常使用HTML、CSS和JavaScript等技术来实现网页的设计和功能

See all articles