- 作为目前最风行的跨域认证解决方案,
JWT(JSON Web Token)
深受开发者的青睐,次要流程如下:
- 客户端发送账号和明码申请登录
- 服务端收到申请,验证账号密码是否通过
- 验证胜利后,服务端会生成惟一的
token
,并将其返回给客户端
- 客户端承受到
token
,将其存储在 cookie
或者 localStroge
中
- 之后每一次客户端向服务端发送申请,都会通过
cookie
或者header
携带该 token
- 服务端验证
token
的有效性,通过才返回响应的数据
- 反对跨域拜访:
Cookie
是不容许跨域拜访的,这一点对 Token
机制是不存在的,前提是传输的用户认证信息通过 HTTP
头传输
- 无状态:
Token
机制在服务端不须要存储 session
信息,因为 Token
本身蕴含了所有登录用户的信息,只须要在客户端的 cookie
或本地介质存储状态信息
- 适用性更广: 只有是反对
http
协定的客户端,就能够应用 token
认证。
- 无需思考 CSRF: 因为不再依赖
cookie
,所以采纳 token
认证形式不会产生 CSRF
,所以也就无需思考 CSRF
的进攻
- 一个
JWT
实际上就是一个字符串,它由三局部组成:头部
、 载荷
与签名
。两头用点 .
分隔成三个局部。留神 JWT
外部是没有换行的。
- 🎨 头部 / header
header
由两局部组成:token
的类型 JWT
和算法名称:HMAC
、SHA256
、RSA
{
"alg": "HS256",
"typ": "JWT"
}
- 🎨 载荷 / Payload
Payload
局部也是一个 JSON
对象,用来寄存理论须要传递的数据。JWT
指定七个默认字段供选择。
- 除了默认字段之外,你齐全能够增加本人想要的任何字段,个别用户登录胜利后,就将用户信息寄存在这里
iss:发行人
exp:到期工夫
sub:主题
aud:用户
nbf:在此之前不可用
iat:公布工夫
jti:JWT ID 用于标识该 JWT
{
"iss": "xxxxxxx",
"sub": "xxxxxxx",
"aud": "xxxxxxx",
"user": [
'username': '极客飞兔',
'gender': 1,
'nickname': '飞兔小哥'
]
}
- 🎨 签名 / Signature
- 签名局部是对下面的 头部、载荷 两局部数据进行的数据签名
- 为了保证数据不被篡改,则须要指定一个密钥,而这个密钥个别只有你晓得,并且寄存在服务端
- 生成签名的代码个别如下:
// 其中 secret 是密钥
String signature = HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)
- 客户端收到服务器返回的
JWT
,能够贮存在 Cookie
外面,也能够贮存在 localStorage
- 而后 客户端每次与服务器通信,都要带上这个
JWT
- 把
JWT
保留在 Cookie
外面发送申请,这样不能 跨域
- 更好的做法是放在
HTTP
申请的头信息 Authorization
字段外面
fetch('license/login', {
headers: {'Authorization': 'X-TOKEN' + token}
})
- 这里应用
ThinkPHP6
整合 JWT
登录认证进行实战模仿
- 🎨 装置 JWT 扩大
composer require firebase/php-jwt
<?php
/**
* Desc: JWT 认证
* Author: autofelix
* Time: 2022/07/04
*/
namespace app\services;
use app\Helper;
use Firebase\JWT\JWT;
use Firebase\JWT\Key;
class JwtService
{
protected $salt;
public function __construct()
{// 从配置信息这种或取惟一字符串,你能够轻易写比方 md5('token')
$this->salt = config('jwt.salt') || "autofelix";
}
// jwt 生成
public function generateToken($user)
{
$data = array(
"iss" => 'autofelix', // 签发者 能够为空
"aud" => 'autofelix', // 面象的用户,能够为空
"iat" => Helper::getTimestamp(), // 签发工夫
"nbf" => Helper::getTimestamp(), // 立马失效
"exp" => Helper::getTimestamp() + 7200, //token 过期工夫 两小时
"user" => [ // 记录用户信息
'id' => $user->id,
'username' => $user->username,
'truename' => $user->truename,
'phone' => $user->phone,
'email' => $user->email,
'role_id' => $user->role_id
]
);
$jwt = JWT::encode($data, md5($this->salt), 'HS256');
return $jwt;
}
// jwt 解密
public function chekToken($token)
{
JWT::$leeway = 60; // 以后工夫减去 60,把工夫留点余地
$decoded = JWT::decode($token, new Key(md5($this->salt), 'HS256'));
return $decoded;
}
}
<?php
declare (strict_types=1);
namespace app\controller;
use think\Request;
use app\ResponseCode;
use app\Helper;
use app\model\User as UserModel;
use app\services\JwtService;
class License
{public function login(Request $request)
{$data = $request->only(['username', 'password', 'code']);
// .... 进行验证的相干逻辑...
$user = UserModel::where('username', $data['username'])->find();
// 验证通过生成 JWT, 返回给前端保留
$token = (new JwtService())->generateToken($user);
return json([
'code' => ResponseCode::SUCCESS,
'message' => '登录胜利',
'data' => ['token' => $token]
]);
}
}
- 🎨 中间件验证用户是否登录
- 在
middleware.php
注册中间件
<?php
// 全局中间件定义文件
return [
// ... 其余中间件
// JWT 验证
\app\middleware\Auth::class
];
<?php
declare (strict_types=1);
namespace app\middleware;
use app\ResponseCode;
use app\services\JwtService;
class Auth
{private $router_white_list = ['login'];
public function handle($request, \Closure $next)
{if (!in_array($request->pathinfo(), $this->router_white_list)) {$token = $request->header('token');
try {
// jwt 验证
$jwt = (new JwtService())->chekToken($token);
} catch (\Throwable $e) {
return json([
'code' => ResponseCode::ERROR,
'msg' => 'Token 验证失败'
]);
}
$request->user = $jwt->user;
}
return $next($request);
}
}