JWT
JSON Web Token (JWT):是一个开放标准,它定义了一种紧凑的、自包含的方式,用于作为 JSON 对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。
这个规范允许我们使用 JWT 在用户和服务器之间传递安全可靠的信息,他的两大使用场景是:认证和数据交换使用起来就是,由服务端根据规范生成一个令牌(token),并且发放给客户端。此时客户端请求服务端的时候就可以携带者令牌,以令牌来证明自己的身份信息。
JWT 的组成
JWT 由三个部分组成:
- header
- payload
- signature
JWT 的生成
JWT 的校验
JWT 拆分结构
header 部分
{
"alg": "HS256",
"typ": "JWT"
}对应 base64UrlEncode 编码为:eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9
说明:该字段为 json 格式。alg 字段指定了生成 signature 的算法,默认值为 HS256,typ 默认值为 JWT
payload 部分
{
"iss": "dycms", // 该 JWT 的签发者
"iat": 1648649196, // 签发时间
"exp": 1648659196, // 过期时间
"sub": "www.dongyao.ren", // 面向的用户
"jti": "9f10e796726e332cec401c569969e13e" // 该 Token 唯一标识
}signature 部分
HMACSHA256(base64UrlEncode(header) + "." +
base64UrlEncode(payload),
123456
)JWT PHP 案例
<?php
namespace Dongyao8\Commuse\Crypto;
class Jwt
{
// 头部
private static $header = array('alg' => 'HS256', // 生成 signature 的算法
'typ' => 'JWT' // 类型
);
// 使用 HMAC 生成信息摘要时所使用的密钥
private $key = 'KEY';
public function __construct($key)
{$this->key = $key;
}
/**
* 获取 jwt token
* @param array $payload jwt 载荷 格式如下非必须
* [
* 'iss'=>'jwt_admin', // 该 JWT 的签发者
* 'iat'=>time(), // 签发时间
* 'exp'=>time()+7200, // 过期时间
* 'nbf'=>time()+60, // 该时间之前不接收处理该 Token
* 'sub'=>'www.admin.com', // 面向的用户
* 'jti'=>md5(uniqid('JWT').time()) // 该 Token 唯一标识
* ]
* @return bool|string
*/
public function getToken(array $payload)
{
$arr = [
'iss' => 'dycms', // 该 JWT 的签发者
'iat' => time(), // 签发时间
'exp' => time() + 3600 * 24 * 15, // 过期时间
'nbf' => time(), // 该时间之前不接收处理该 Token
'sub' => '', // 面向的用户'jti'=> md5(uniqid('JWT') . time()) // 该 Token 唯一标识
];
$payload = array_merge($arr, $payload);
if (is_array($payload)) {$base64header = self::base64UrlEncode(json_encode(self::$header, JSON_UNESCAPED_UNICODE));
$base64payload = self::base64UrlEncode(json_encode($payload, JSON_UNESCAPED_UNICODE));
$token = $base64header . '.' . $base64payload . '.' . self::signature($base64header . '.' . $base64payload, $this->key, self::$header['alg']);
return $token;
} else {return false;}
}
/**
* 验证 token 是否有效, 默认验证 exp,nbf,iat 时间
* @param string $Token 需要验证的 token
* @return bool|string
*/
public function verifyToken(string $Token)
{$tokens = explode('.', $Token);
if (count($tokens) != 3)
return false;
list($base64header, $base64payload, $sign) = $tokens;
// 获取 jwt 算法
$base64decodeheader = json_decode(self::base64UrlDecode($base64header), JSON_OBJECT_AS_ARRAY);
if (empty($base64decodeheader['alg']))
return false;
// 签名验证
if (self::signature($base64header . '.' . $base64payload, $this->key, $base64decodeheader['alg']) !== $sign)
return false;
$payload = json_decode(self::base64UrlDecode($base64payload), JSON_OBJECT_AS_ARRAY);
// 签发时间大于当前服务器时间验证失败
if (isset($payload['iat']) && $payload['iat'] > time())
return false;
// 过期时间小宇当前服务器时间验证失败
if (isset($payload['exp']) && $payload['exp'] < time())
return false;
// 该 nbf 时间之前不接收处理该 Token
if (isset($payload['nbf']) && $payload['nbf'] > time())
return false;
return $payload;
}
/**
* base64UrlEncode https://jwt.io/ 中 base64UrlEncode 编码实现
* @param string $input 需要编码的字符串
* @return string
*/
private function base64UrlEncode(string $input)
{return str_replace('=', '', strtr(base64_encode($input),'+/','-_'));
}
/**
* base64UrlEncode https://jwt.io/ 中 base64UrlEncode 解码实现
* @param string $input 需要解码的字符串
* @return bool|string
*/
private function base64UrlDecode(string $input)
{$remainder = strlen($input) % 4;
if ($remainder) {
$addlen = 4 - $remainder;
$input .= str_repeat('=', $addlen);
}
return base64_decode(strtr($input, '-_', '+/'));
}
/**
* HMACSHA256 签名 https://jwt.io/ 中 HMACSHA256 签名实现
* @param string $input 为 base64UrlEncode(header).".".base64UrlEncode(payload)
* @param string $key
* @param string $alg 算法方式
* @return mixed
*/
private function signature(string $input, string $key, string $alg = 'HS256')
{
$alg_config = array('HS256' => 'sha256'
);
return self::base64UrlEncode(hash_hmac($alg_config[$alg], $input, $key, true));
}
}
加入官方交流QQ群:778957856
