• 企业400电话
  • 微网小程序
  • AI电话机器人
  • 电商代运营
  • 全 部 栏 目

    企业400电话 网络优化推广 AI电话机器人 呼叫中心 网站建设 商标✡知产 微网小程序 电商运营 彩铃•短信 增值拓展业务
    PHP如何使用JWT做Api接口身份认证的实现

    1.JWT是什么?

    JWT官网 https://jwt.io

    官网简介:JSON Web令牌(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间作为JSON对象安全地传输信息。由于此信息是经过数字签名的,因此可以被验证和信任。可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对对JWT进行签名。
    通常来说,JWT是一个由包含用户信息所生成的加密串,将生成的JWT加密串放入所有的请求head中,前端通过设定的秘钥加密参数,发送数据给后端,后端接收参数,按照设定的秘钥,同样加密接收参数,与前端加密参数做比对,保证请求有效并防止参数不被篡改。验证通过就进行相关的逻辑处理,否则请求算作无效请求。

    2.为什么使用JWT?

    传统互联网项目在实现保持登录状态、退出登录、接口请求等功能时会使用Session,但是众所周知Session数据在产生后会存储与服务器端,所以当用户量达到一定程度会相应影响到服务器的性能,且Session在前后端分离的项目中或是多服务器项目中的支持不是很好。但是Token不会产生这些问题,服务器端对Token只有生成和验证操作,不会存放数据,针对前后端分离的项目,包括手机APP和当前热门的小程序的支持都很不错,所以Token成为了用于验证的极好选择。

    3.在项目中引入JWT扩展

    composer require firebase/php-jwt

    4.JWT具体使用步骤

    在登录控制器中

    $key = 'e10adc3949ba59abbe56e057f20f883e';//自定义秘钥,加密解密都需要用到
    $time = time(); //当前时间
    $token = [
      'iat' => $time, //签发时间
      'nbf' => $time, //(Not Before):某个时间点后才能访问,比如设置time+30,表示当前时间30秒后才能使用
      'data' => [
        'userid' => 1,
        'username' => 'zqw.xyz',
      ]];
    $jwtToken = \Firebase\JWT\JWT::encode($token, $key);
    

    登录成功后,将生成 token 返回给前端。前端记录该用户信息的 token ,将 token 放入 head,之后的请求中都需要 head 都需包含 token。

    我们可以定义一个 AppID 和 AppSecret,同时告知前端。前端每次请求中携带 AppID ,请求参数加入一个必要参数 sign ,sign 是由所有请求参数拼接而成加密后的加密串。
    注意: sign 参数值,需要加入 AppID 所需要对应 AppSecret,请求参数和后端约定相同排序规则,然后进行加密。

    后端验证签名是否通过

    $token = $request->instance()->header('token');
    if(empty($token)){
      abort(0, 'token验证失败');
    }
    $appid = $request->param('appid');
    if(empty($appid)){
      abort(0, 'appid验证失败');
    }
    $request_time = $request->param('request_time');
    if(empty($request_time)){
      abort(0,'时间戳验证失败');
    }
    $random_number = $request->param('random_number');
    if(empty($random_number)){
      abort(0,'数字验证失败');
    }
    //记录每次请求的uuid,如果uuid已存在,则该次请求无效。
    
    $request_uuid = Db::name('request')->where('uuid',$random_number)->find();
    if(count($request_uuid) > 1){
      abort(0,'请求无效');
    }else{
      Db::name('request')->insert([
        'uuid' => $random_number,
        'add_time' => time(),
        'url' => $request->baseUrl(),
      ]);
    }
    
    
    
    $secret_type = [
      'appid1' => 'bd98e16b5eaf3e49fa2ecd3f9ee8f6ae',
      'appid2' => 'b7e23061042f2799180e41d94cdbf861',
    ];
    $secret = $secret_type[$appid];
    if(empty($random_number)){
      abort(0,'secret验证失败');
    }
    $sign = $request->param('sign');
    if(empty($sign)){
      abort(0,'sign验证失败');
    }
    
    $all_obj['secret'] = $secret;
    ksort($all_obj);
    $sign_key = '';
    foreach ($all_obj as $k => $v) {
      $sign_key .= $k.='='.$v.'';
    }
    $sign_key = substr_replace($sign_key ,"", -1);
    $md_sign = md5($sign_key);
    if($sign !== $md_sign){
      abort(0,'签名验证失败');
    }
    注意: 为防止重复请求,建议由前端每次传入 uuid ,根据 uuid 请求是否重复。
    6.验证通过后,进行相关的业务逻辑代码处理。
    
    // 
    $result = array(
      'status' => 1,
      'msg' => '获取成功',
      'result' => array(
      )
    );
    return json($result)
    
    

    以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持脚本之家。

    您可能感兴趣的文章:
    • Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
    • 详解用JWT对SpringCloud进行认证和鉴权
    • Django JWT Token RestfulAPI用户认证详解
    • php 后端实现JWT认证方法示例
    • 详解SpringCloud服务认证(JWT)
    • DjangoRestFramework 使用 simpleJWT 登陆认证完整记录
    上一篇:PHP7创建销毁session的实例方法
    下一篇:php把文件设置为插件的技巧方法
  • 相关文章
  • 

    © 2016-2020 巨人网络通讯 版权所有

    《增值电信业务经营许可证》 苏ICP备15040257号-8

    PHP如何使用JWT做Api接口身份认证的实现 PHP,如何,使用,JWT,做,Api,