一 . JWT 即 Json Web Token。
随着技术的发展,分布式web应用的普及,通过session管理用户登录状态成本越来越高,因此慢慢发展成为token的方式做登录身份校验,然后通过token去取redis中的缓存的用户信息,随着之后jwt的出现,校验方式更加简单便捷化,无需通过redis缓存,而是直接根据token取出保存的用户信息,以及对token可用性校验,单点登录更为简单。
jwt 主要由消息头header 和 数据载体组成。消息头 header是由6个 标准消息体 key=>value 键值对组成,其中key是固定的不能更改,用户可根据自己的实际情况选择需要的部分 header。消息载体 payload [key=>value]数组,完全是由用户自定义。
[
"iss" => "http://example.org", // jwt签发者
"sub" => "1234567890", // jwt所面向的用户
"aud"=>"",// 接收jwt的一方
"exp"=>$time+10,//: jwt的过期时间,这个过期时间必须要大于签发时间
"nbf"=>$time, //: 定义在什么时间之前,该jwt都是不可用的.
"iat"=>$time, //: jwt的签发时间
"jti"=>"",//: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。
// 消息载体
"data"=>[
"userid"=>12,
"isBoss"=>1,
. . . . . .
],
]
在本人实际开发中, 用的比较多的是 iat, exp 两个消息头。
二 . php生成jwt
php生成jwt可以有两种途径 composer库 lcobucci/jwt & pecl库cdoco/php-jwt最新版1.0.0
pecl cdoco/php-jwt 扩展的使用:
打开 https://github.com/cdoco/php-jwt 如果你的php 版本是5 ,可选择当前主分支 0.2.5 。如果你是 php7,请切换到分支v1.0.0 (https://github.com/cdoco/php-jwt/tree/v1.0.0) 下载安装。
下面以安装 php7版本的 jwt v1.0.0 版本和基本使用案例
# 安装
$ cd ~/php-extension
$ wget https://github.com/cdoco/php-jwt/archive/v1.0.0.zip
$ unzip v1.0.1.zip #得到 php-jwt-1.0.0/
$ cd php-jwt-1.0.0/
$ vi php_jwt.h # 修改该文件的版本号,可忽略 (个人习惯会修改一下)
找到 #define PHP_JWT_VERSION 配置项 将后面的值 改成 "1.0.0" 然后保存退出
$ /usr/local/php/bin/phpize
$ ./configure --with-php-config=/usr/local/php/bin/php-config
$ make && make install # 根据结果提示查看是否安装完成
$ vi php.ini # 在追后追加 extension = jwt.so 保存退出
$ php --ri jwt # 查看 扩展版本号是否为 1.0.0
# 使用
$key = "Your custom encrypt key";
$time = time();
$payload = array(
"data" => [
"name" => "ZiHang Gao",
"admin" => true
],
//"iss" => "http://example.org", // jwt签发者
//"sub" => "1234567890", // jwt所面向的用户
//"aud"=>"",// 接收jwt的一方
"exp"=>$time+10,//: jwt的过期时间,这个过期时间必须要大于签发时间
//"nbf"=>$time, //: 定义在什么时间之前,该jwt都是不可用的.
"iat"=>$time, //: jwt的签发时间
//"jti"=>"",//: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。
);
// 生成 jwt token
$token = \Cdoco\JWT::encode($payload, $key);
// ...... end
try{
// 解析你的 jwt token
$data = \Cdoco\JWT::decode($token, $key);
var_dump($data);
}catch (Exception $e){
get_class($e) == "SignatureInvalidException"; // 表示 token 被串改或 加密的 key 被串改
get_class($e) == "ExpiredSignatureException"; // 表示 token 过期
get_class($e) == "BeforeValidException"; // 表示 token 在规定之前的时间内不允许使用
var_dump(get_class($e));
var_dump($e->getMessage());
}
composer lcobucci/jwt的基本使用
安装: composer require lcobucci/jwt
/**
* 生成 jwt
* @param array $data 消息载体
* @param int $expire 过期有效时间
* @param string $secertKey 加密key
* @return string jwtToken
*/
function generateJwt(array $data,string $secertKey="", int $expire=0):string {
$signer = new Sha256();
$currentTime = time();
$secert = $secert ? : "Your custom encrypt key";
$builder = new Builder();
if ($expire){
$builder->expiresAt($currentTime + $expire); //添加过期时间,无过期时间表示永远有效
}
$token = $builder
->canOnlyBeUsedAfter($currentTime) //多少秒前该token无法使用
->withClaim("data", $data) //设置数据
->getToken($signer, new Key($secert));
$token = strval($token);
return (string)$token;
}
/**
* 解析你的 jwt token
* @param string $token 你要解析的 jwtToken 字符串
* @param string $secret 你的加密 key ,必须与生成token的加密key一致
* @return array 原jwt的header和payload组成的数组
*/
function parseJwt(string $token,string $secert=""):array{
$secert = $secert ? : "Your custom encrypt key";
$signer = new Sha256();
try{
$token = (new Parser())->parse($token);
if ($token->verify($signer, $secert)) { //验证token是否被串改或加密的key错误
$validation = new ValidationData();
$data = (array)$token->getClaim("data"); // 得到消息载体
if(empty($data)){
throw new Exception("empty data"); // 该情况,表示拥护在生成 jwt的时候,没有放入载体。
// 该情况一般不会发生,
}
if(!$token->validate($validation)) {
throw new Exception("expire"); // 抛出 token过期的异常
}
}else{
throw new Exception("failed"); // 抛出 token是被串改或加密的key错误的异常
}
}catch (\Exception $exception){
// 当 jwt 解析异常的时候,会出现异常,例如Token过期, secret错误等等
throw new Exception($exception->getMessage(),403);
}
return $data;
}
