一直沒有好好看過jwt，直到前兩天要做web驗(yàn)證，朋友給我推薦了jwt。才發(fā)現(xiàn)jwt已經(jīng)被大家廣泛的應(yīng)用了。看來我有點(diǎn)out了。哈哈，趁著這個(gè)世界來好好看看這個(gè)。

由于現(xiàn)在很多項(xiàng)目都是前后端分離，restful api模式。所以傳統(tǒng)的session模式就沒有辦法滿足認(rèn)證需求，這個(gè)時(shí)候jwt的作用就來了。可以說 restful api認(rèn)證是jwt的一個(gè)很好的應(yīng)用場景。

下面是一個(gè)很小的demo

 ?phprequire_once src/JWT.php header( Content-type:application/json //定義Keyconst KEY = dasjdkashdwqe1213dsfsn;p $user = [ uid = dadsa-12312-vsd1s1-fsds , account = daisc , password = 123456 $redis = redis();$action = $_GET[ action switch ($action) case login : login(); break; case info : info(); break;//登陸，寫入驗(yàn)證tokenfunction login() global $user; $account = $_GET[ account  $pwd = $_GET[ password  $res = []; if($account==$user[ account ] $pwd==$user[ password ]) unset($user[ password  $time = time(); $token = [ iss = http://test.cc ,//簽發(fā)者 iat = $time, exp = $time+60, data = $user $jwt = /Firebase/JWT/JWT::encode($token,KEY); $res[ code ] = 200; $res[ message ] = 登錄成功  $res[ jwt ] = $jwt; else $res[ message ]= 用戶名或密碼錯(cuò)誤  $res[ code ] = 401; exit(json_encode($res));
 $token = (array) /Firebase/JWT/JWT::decode($jwt,KEY, [ HS256  if($token[ exp ] time()) $res[ code ] = 401; $res[ msg ] = 登錄超時(shí)，請重新登錄  $res[ data ]= $token[ data  }catch (/Exception $E) $res[ code ] = 401; $res[ msg ] = 登錄超時(shí)，請重新登錄.  else $res[ code ] = 401; $res[ msg ] = You do not have permission to access.  exit(json_encode($res));
 return $redis;}

這個(gè)dmeo里面用jwt做了一個(gè)簡單的認(rèn)證。 其中用到了一個(gè)php-jwt的加密包https://github.com/firebase/php-jwt

其中KEY為定義的私鑰也就是jwt里面的 sign部分，這個(gè)一定要保存好。
而header部分php-jwt包里面已經(jīng)幫我們完成了，加密代碼如下

 */ html' target='_blank'>public static function encode($payload, $key, $alg = HS256 , $keyId = null, $head = null) $header = array( typ = JWT , alg = $alg); if ($keyId !== null) { $header[ kid ] = $keyId; if ( isset($head) is_array($head) ) { $header = array_merge($head, $header); $segments = array(); $segments[] = static::urlsafeB64Encode(static::jsonEncode($header)); $segments[] = static::urlsafeB64Encode(static::jsonEncode($payload)); $signing_input = implode( . , $segments); $signature = static::sign($signing_input, $key, $alg); $segments[] = static::urlsafeB64Encode($signature); return implode( . , $segments); }

可以看出默認(rèn)的加密的方式是HS256。這也是說jwt安全的原因。現(xiàn)階段HS256加密還是很安全的。
這個(gè)包里面也支持證書加密。

加密解密的過程這個(gè)包已經(jīng)幫我們完成了。所以我們只需要定義jwt中的 poyload部分就可以了。也就是demo里面的token部分。加密成功會得到一個(gè)加密的Jwt字符串，下次前端在請求api的時(shí)候需要攜帶這個(gè)jwt字符串作為認(rèn)證。
在header頭里面增加Authorization。在服務(wù)端驗(yàn)證的時(shí)候回通過取得這個(gè)值來驗(yàn)證回話的有效。

下面是poyload的一些常用配置

 $token = [ #非必須。issuer 請求實(shí)體，可以是發(fā)起請求的用戶的信息，也可是jwt的簽發(fā)者。 iss = http://example.org , #非必須。issued at。 token創(chuàng)建時(shí)間，unix時(shí)間戳格式 iat = $_SERVER[ REQUEST_TIME ], #非必須。expire 指定token的生命周期。unix時(shí)間戳格式 exp = $_SERVER[ REQUEST_TIME ] + 7200, #非必須。接收該JWT的一方。 aud = http://example.com , #非必須。該JWT所面向的用戶 sub = jrocket@example.com , # 非必須。not before。如果當(dāng)前時(shí)間在nbf里的時(shí)間之前，則Token不被接受；一般都會留一些余地，比如幾分鐘。 nbf = 1357000000, # 非必須。JWT ID。針對當(dāng)前token的唯一標(biāo)識 jti = 222we , # 自定義字段 GivenName = Jonny , # 自定義字段 name = Rocket , # 自定義字段 Email = jrocket@example.com , ];

里面包含的配置可以自由配置，也可以自己添加一些其他的。這些都是網(wǎng)上大家常用的，可以說是一種約定吧。

以上就是JWT是什么？對JWT的簡單認(rèn)識的詳細(xì)內(nèi)容，PHP教程

鄭重聲明：本文版權(quán)歸原作者所有，轉(zhuǎn)載文章僅為傳播更多信息之目的，如作者信息標(biāo)記有誤，請第一時(shí)間聯(lián)系我們修改或刪除，多謝。