PHP是全球最流行的Web編程語(yǔ)言之一,能夠處理數(shù)據(jù)與數(shù)字并將其轉(zhuǎn)換為HTML內(nèi)容。它成為了許多網(wǎng)站和應(yīng)用程序的基礎(chǔ)。在今天的世界中,安全問(wèn)題越來(lái)越嚴(yán)峻,因此開(kāi)發(fā)者必須考慮我們網(wǎng)站和應(yīng)用程序的安全性。其中最重要的一項(xiàng)是使用JWT(JSON Web Token)認(rèn)證。
JWT是一個(gè)屬于Web的開(kāi)放標(biāo)準(zhǔn)(RFC 7519),旨在定義一種安全方式,通過(guò)JSON(JavaScript Object Notation)將信息從一方傳遞到另一方。JWT由三部分組成:Header,Payload 和 Signature。頭部包含聲明類型(即JWT)和所使用的算法。負(fù)載包含所聲明的任何關(guān)鍵信息。簽名是JWT的第三部分,這個(gè)部分由算法和所進(jìn)行的哈希結(jié)果構(gòu)成。
Header.Payload.Signature // 示例 eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4 gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c
JWT有多種使用方式,最常見(jiàn)的一種就是作為API身份驗(yàn)證手段。用戶登錄后可向服務(wù)器請(qǐng)求令牌,服務(wù)器則使用JWT生成一個(gè)token,用于驗(yàn)證用戶身份,由于token只有在必要時(shí)才需要連接到數(shù)據(jù)庫(kù)進(jìn)行驗(yàn)證,因此對(duì)于服務(wù)器性能優(yōu)化和降低數(shù)據(jù)庫(kù)負(fù)擔(dān)大有裨益。
我們來(lái)看下如何在PHP中使用JWT,使用PHP的官方包如下所示。
use Firebase\JWT\JWT; $jwt = JWT::encode(['id' =>1], 'secretkey'); $decoded = JWT::decode($jwt, 'secretkey', ['HS256']); print_r($decoded);
上述例子中的encode()方法需要兩個(gè)參數(shù):消息和密鑰。decode()方法需要三個(gè)參數(shù):JWT,密鑰和預(yù)期使用的算法。
如果您需要通過(guò)多個(gè)請(qǐng)求使用JWT,則可能需要擴(kuò)展其有效期。如下所示:
use Firebase\JWT\JWT; // 將jwt有效期延長(zhǎng)至3小時(shí) $jwt = JWT::encode(['id' =>1], 'secretkey', 'HS256', 60 * 180); $decoded = JWT::decode($jwt, 'secretkey', ['HS256']); print_r($decoded);
假設(shè)您的應(yīng)用程序使用SQLite存儲(chǔ)用戶,并使用username作為用戶表的每個(gè)行的主鍵。您可以使用下面的JWT代碼來(lái)生成一個(gè)token并將其保存到會(huì)話中。
use Firebase\JWT\JWT;
if ($_POST['username'] === 'john') {
$_SESSION['user'] = JWT::encode(['username' =>'john'], 'secretkey');
};下面的代碼演示如何在用戶注銷時(shí)刪除token。
unset($_SESSION['user']);
在API中使用JWT認(rèn)證時(shí),客戶端發(fā)出請(qǐng)求時(shí)通常需要在請(qǐng)求頭中設(shè)置包含JWT的Authorization頭。如下所示:
Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0N TY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4f wpMeJf36POk6yJV_adQssw5c
以上就是PHP JWT實(shí)現(xiàn)的基本流程和方法,我們開(kāi)發(fā)者需要根據(jù)自己的需要進(jìn)一步拓展使用,為我們的應(yīng)用程序和API提供強(qiáng)大的安全支持。同時(shí)也應(yīng)注意安全的使用方式,否則會(huì)帶來(lái)可步人后臺(tái)的漏洞問(wèn)題。