JSON Web Token 的理解

推荐阅读

json web token 的介绍,网上有很多资料,就不详细解释了。我个人说下对它的理解和应用场景。很多资料喜欢解释它的一个应用场景是,比如在简书上,有人关注你了,会给你邮箱发送一个链接,然后登陆到简书网站上取查看关注者。这种情况下,如果你没有登陆网站,就需要自己先登陆。如果使用JWT,则就不需要你在登陆了。通过这个场景,我来说下认证用户这方面

  • 原理

认证用户一般在网站上是账号密码登陆,存入session。 很多App 接口还是先请求登陆接口,然后获取到 token,再去请求登陆后的操作。所以,不管是 session 还是 JWT,都是解决用户认证的问题。这两种方式,本质上都是通过一个 token,也就是不能让外人知道的值,来验证这条请求的合法性,因为理论上只有你自己的客户端才知道你的 token。
JWT 也是如此,只要服务端根据客户的请求数据,验证 token 值一致,就能够证明数据是正常渠道来的。因为加密的时候加密方式和加密的 key 值是只有你们自己才有的。如果需要什么数据,你直接再 post 或者 get 中加入自己的键值对即可。

  • JWT 的优势

一、token 值可以直接根据加密跟则加密比对,不需要查询数据库。减少服务器压力。即使是 session 存储,也会占用服务器内存
二、payload 值可以自定义这条请求数据的有效时间(exp 字段),防止别人得到token后利用
三、hash 或者 rsa 加密,同样的数据,每次加密的值都是不同的,也就是token 值可变,提高了数据的安全性,但是登陆请求的那种,基本上 token 是固定的。
四、加密时候有个 key 值或者rsa加密的公私钥,是只有自己的服务端和客户端才知道的,只要这个值不泄露,加密比对就不会有误
五、JWT方式将用户状态分散到了客户端中,可以明显减轻服务端的内存压力。除了用户id之外,还可以存储其他的和用户相关的信息,例如该用户是否是管理员、用户所在的分层

  • index.php 生成加密数据
<?php
define('HASH_KEY', 123456);// 自定义 hash 加密得 key
// header 部分
$head_json = '{
  "typ": "JWT",
  "alg": "SHA256"
}';
$head = base64_encode($head_json);
// payload 部分
$payload = '{
    "iss": "John Wu JWT",
    "iat": 1441593502,
    "exp": 144159472211,
    "aud": "www.example.com",
    "sub": "jrocket@example.com",
    "from_user": "B",
    "target_user": "A"
}';
$payload = base64_encode($payload);
// signature
$sign = hash_hmac(strtolower((json_decode($head_json, true))['alg']), $head . $payload, HASH_KEY);
echo $head;
echo '<hr>';
echo $payload;
echo '<hr>';
echo $sign;
echo '<hr>';
echo $head . '.' . $payload . '.' . $sign;

1

  • server.php 中谭政 token ,获取数据
    <?php
    define('HASH_KEY', 123456);// 自定义 hash 加密得 key
    /**
    *  获取头部的 token
    */
    function getBearerToken()
    {
    if (!isset($_SERVER['HTTP_' . strtoupper('Authorization')])) {
        return false; // 头部不存在 Authorization
    }
    $auth = $_SERVER['HTTP_' . strtoupper('Authorization')];
    if (substr($auth, 0, strlen('Bearer ')) !== 'Bearer ') {
        return false; // token 不存在
    }
    $token = substr($auth, 7); // Bearer 字符串和空格之后的字符串,是从7开始的
    return $token;
    }
    $token = getBearerToken();
    // 1. 检测 token 值
    if (!$token) {
    echo '清闲登陆';
    }
    list($head, $body, $sign) = explode('.', $token);
    $head_info = json_decode(base64_decode($head), true);
    $body_info = json_decode(base64_decode($body), true);
    // 2.检测 信息是否过去
    if ($body_info['exp'] <= time()) {
    echo 'token 已经过期';
    }
    $algo = $head_info['alg'];
    $hash = hash_hmac(strtolower($algo), $head . $body, HASH_KEY);
    $verify = hash_equals($sign, $hash);
    echo $verify;

    1

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容,与人为善,比聪明更重要!
未填写
文章
1
粉丝
1
喜欢
0
收藏
2
排名:2315
访问:607
私信
所有博文
社区赞助商