Token 认证流程
- 作为目前最风行的跨域认证解决方案,
JWT(JSON Web Token) 深受开发者的青睐,次要流程如下: - 客户端发送账号和明码申请登录
- 服务端收到申请,验证账号密码是否通过
- 验证胜利后,服务端会生成惟一的
token,并将其返回给客户端 - 客户端承受到
token,将其存储在 cookie 或者 localStroge 中 - 之后每一次客户端向服务端发送申请,都会通过
cookie 或者header 携带该 token - 服务端验证
token 的有效性,通过才返回响应的数据
Token 认证长处
- 反对跨域拜访:
Cookie 是不容许跨域拜访的,这一点对 Token 机制是不存在的,前提是传输的用户认证信息通过 HTTP 头传输 - 无状态:
Token 机制在服务端不须要存储 session 信息,因为 Token 本身蕴含了所有登录用户的信息,只须要在客户端的 cookie 或本地介质存储状态信息 - 适用性更广: 只有是反对
http 协定的客户端,就能够应用 token 认证。 - 无需思考CSRF: 因为不再依赖
cookie,所以采纳 token 认证形式不会产生 CSRF,所以也就无需思考 CSRF 的进攻
JWT 构造
- 一个
JWT 实际上就是一个字符串,它由三局部组成:头部、载荷与签名。两头用点 . 分隔成三个局部。留神 JWT 外部是没有换行的。
- 头部 / header
header 由两局部组成: token 的类型 JWT 和算法名称:HMAC、SHA256、RSA
{ "alg": "HS256", "typ": "JWT"}
- 载荷 / Payload
Payload 局部也是一个 JSON 对象,用来寄存理论须要传递的数据。JWT 指定七个默认字段供选择。- 除了默认字段之外,你齐全能够增加本人想要的任何字段,个别用户登录胜利后,就将用户信息寄存在这里
iss:发行人exp:到期工夫sub:主题aud:用户nbf:在此之前不可用iat:公布工夫jti:JWT ID用于标识该JWT
{ "iss": "xxxxxxx", "sub": "xxxxxxx", "aud": "xxxxxxx", "user": [ 'username': '极客飞兔', 'gender': 1, 'nickname': '飞兔小哥' ] }
- 签名 / Signature
- 签名局部是对下面的 头部、载荷 两局部数据进行的数据签名
- 为了保证数据不被篡改,则须要指定一个密钥,而这个密钥个别只有你晓得,并且寄存在服务端
- 生成签名的代码个别如下:
// 其中secret 是密钥String signature = HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)
JWT 根本应用
- 客户端收到服务器返回的
JWT,能够贮存在 Cookie 外面, 也能够贮存在 localStorage - 而后 客户端每次与服务器通信,都要带上这个
JWT - 把
JWT 保留在 Cookie 外面发送申请,这样不能跨域 - 更好的做法是放在
HTTP 申请的头信息 Authorization 字段外面
fetch('license/login', { headers: { 'Authorization': 'X-TOKEN' + token }})
实战:应用 JWT 登录认证
- 这里应用
ThinkPHP6 整合 JWT 登录认证进行实战模仿 - 装置 JWT 扩大
composer require firebase/php-jwt
<?php/** * Desc: JWT认证 * Author: autofelix * Time: 2022/07/04 */namespace app\services;use app\Helper;use Firebase\JWT\JWT;use Firebase\JWT\Key;class JwtService{ protected $salt; public function __construct() { //从配置信息这种或取惟一字符串,你能够轻易写比方md5('token') $this->salt = config('jwt.salt') || "autofelix"; } // jwt生成 public function generateToken($user) { $data = array( "iss" => 'autofelix', //签发者 能够为空 "aud" => 'autofelix', //面象的用户,能够为空 "iat" => Helper::getTimestamp(), //签发工夫 "nbf" => Helper::getTimestamp(), //立马失效 "exp" => Helper::getTimestamp() + 7200, //token 过期工夫 两小时 "user" => [ // 记录用户信息 'id' => $user->id, 'username' => $user->username, 'truename' => $user->truename, 'phone' => $user->phone, 'email' => $user->email, 'role_id' => $user->role_id ] ); $jwt = JWT::encode($data, md5($this->salt), 'HS256'); return $jwt; } // jwt解密 public function chekToken($token) { JWT::$leeway = 60; //以后工夫减去60,把工夫留点余地 $decoded = JWT::decode($token, new Key(md5($this->salt), 'HS256')); return $decoded; }}
<?phpdeclare (strict_types=1);namespace app\controller;use think\Request;use app\ResponseCode;use app\Helper;use app\model\User as UserModel;use app\services\JwtService;class License{ public function login(Request $request) { $data = $request->only(['username', 'password', 'code']); // ....进行验证的相干逻辑... $user = UserModel::where('username', $data['username'])->find(); // 验证通过生成 JWT, 返回给前端保留 $token = (new JwtService())->generateToken($user); return json([ 'code' => ResponseCode::SUCCESS, 'message' => '登录胜利', 'data' => [ 'token' => $token ] ]); }}
- 中间件验证用户是否登录
- 在
middleware.php 注册中间件
<?php// 全局中间件定义文件return [ // ...其余中间件 // JWT验证 \app\middleware\Auth::class];
<?phpdeclare (strict_types=1);namespace app\middleware;use app\ResponseCode;use app\services\JwtService;class Auth{ private $router_white_list = ['login']; public function handle($request, \Closure $next) { if (!in_array($request->pathinfo(), $this->router_white_list)) { $token = $request->header('token'); try { // jwt 验证 $jwt = (new JwtService())->chekToken($token); } catch (\Throwable $e) { return json([ 'code' => ResponseCode::ERROR, 'msg' => 'Token验证失败' ]); } $request->user = $jwt->user; } return $next($request); }}