问题:
有一个网站A调用了B的服务,B的服务是用Laravel写的,用户认证是JWT授权。A调用B服务时,B直接给A分配了一个永久的jwt token值。
现在问题是,怎么在 B 中来验证 A 调用 B 的服务时的这个 token 值是 B 生成的?
如果是用的 tymon/jwt-auth:
添加参数到 token
$token = Auth::guard('api')->claims(['flag' => 'serverA'])->login($user);解析 token 参数
Auth::guard('api')->payload()->get('flag') ;如果是用的 tymon/jwt-auth:
添加参数到 token
$token = Auth::guard('api')->claims(['flag' => 'serverA'])->login($user);解析 token 参数
Auth::guard('api')->payload()->get('flag') ;
如果是单验证,你能验证的 token 都是你发送的,如果有多端发送 token,那就在 token 本身标识发送方,
这就好比公私钥,你能解密即意味着是你的密钥对发出的
jwt 里加个标志吧,只是确认加个标志就行
正常验证就可以了,JWT 在颁布的时候 Payload 有 signature B 在 验证 JWT 的时候会进行签名验证,确保是 B 端颁发,这和 API 接口不是一个原理吗???
如果是用的 tymon/jwt-auth:
添加参数到 token
$token = Auth::guard('api')->claims(['flag' => 'serverA'])->login($user);解析 token 参数
Auth::guard('api')->payload()->get('flag') ;
B 解析 jwt,jwt 中有个字段是代表来源的,具体可以查看下文档,我这里使用的是 tymon/jwt-auth ,来源字段是 iss, auth ($guard)->payload ()->get ('iss')
请登录
关于 LearnKu
粤公网安备 44030502004330号
推荐文章: