当前位置:网站首页>实战模拟│JWT 登录认证
实战模拟│JWT 登录认证
2022-07-04 19:49:00 【华为云】
Token 认证流程
- 作为目前最流行的跨域认证解决方案,
JWT(JSON Web Token)深受开发者的喜爱,主要流程如下: - 客户端发送账号和密码请求登录
- 服务端收到请求,验证账号密码是否通过
- 验证成功后,服务端会生成唯一的
token,并将其返回给客户端 - 客户端接受到
token,将其存储在cookie或者localStroge中 - 之后每一次客户端向服务端发送请求,都会通过
cookie或者header携带该token - 服务端验证
token的有效性,通过才返回响应的数据
Token 认证优点
- 支持跨域访问:
Cookie是不允许跨域访问的,这一点对Token机制是不存在的,前提是传输的用户认证信息通过HTTP头传输 - 无状态:
Token机制在服务端不需要存储session信息,因为Token自身包含了所有登录用户的信息,只需要在客户端的cookie或本地介质存储状态信息 - 适用性更广: 只要是支持
http协议的客户端,就可以使用token认证。 - 无需考虑CSRF: 由于不再依赖
cookie,所以采用token认证方式不会发生CSRF,所以也就无需考虑CSRF的防御
JWT 结构
- 一个
JWT实际上就是一个字符串,它由三部分组成:头部、载荷与签名。中间用点.分隔成三个部分。注意JWT内部是没有换行的。
- 头部 / header
header由两部分组成:token的类型JWT和算法名称:HMAC、SHA256、RSA
{ "alg": "HS256", "typ": "JWT"}- 载荷 / Payload
Payload部分也是一个JSON对象,用来存放实际需要传递的数据。JWT指定七个默认字段供选择。- 除了默认字段之外,你完全可以添加自己想要的任何字段,一般用户登录成功后,就将用户信息存放在这里
iss:发行人exp:到期时间sub:主题aud:用户nbf:在此之前不可用iat:发布时间jti:JWT ID用于标识该JWT{ "iss": "xxxxxxx", "sub": "xxxxxxx", "aud": "xxxxxxx", "user": [ 'username': '极客飞兔', 'gender': 1, 'nickname': '飞兔小哥' ] }- 签名 / Signature
- 签名部分是对上面的 头部、载荷 两部分数据进行的数据签名
- 为了保证数据不被篡改,则需要指定一个密钥,而这个密钥一般只有你知道,并且存放在服务端
- 生成签名的代码一般如下:
// 其中secret 是密钥String signature = HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)JWT 基本使用
- 客户端收到服务器返回的
JWT,可以储存在Cookie里面, 也可以储存在localStorage - 然后 客户端每次与服务器通信,都要带上这个
JWT - 把
JWT保存在Cookie里面发送请求,这样不能跨域 - 更好的做法是放在
HTTP请求的头信息Authorization字段里面
fetch('license/login', { headers: { 'Authorization': 'X-TOKEN' + token }})实战:使用 JWT 登录认证
这里使用
ThinkPHP6整合JWT登录认证进行实战模拟安装 JWT 扩展
composer require firebase/php-jwt- 封装生成 JWT 和解密方法
<?php/** * Desc: JWT认证 * Author: autofelix * Time: 2022/07/04 */namespace app\services;use app\Helper;use Firebase\JWT\JWT;use Firebase\JWT\Key;class JwtService{ protected $salt; public function __construct() { //从配置信息这种或取唯一字符串,你可以随便写比如md5('token') $this->salt = config('jwt.salt') || "autofelix"; } // jwt生成 public function generateToken($user) { $data = array( "iss" => 'autofelix', //签发者 可以为空 "aud" => 'autofelix', //面象的用户,可以为空 "iat" => Helper::getTimestamp(), //签发时间 "nbf" => Helper::getTimestamp(), //立马生效 "exp" => Helper::getTimestamp() + 7200, //token 过期时间 两小时 "user" => [ // 记录用户信息 'id' => $user->id, 'username' => $user->username, 'truename' => $user->truename, 'phone' => $user->phone, 'email' => $user->email, 'role_id' => $user->role_id ] ); $jwt = JWT::encode($data, md5($this->salt), 'HS256'); return $jwt; } // jwt解密 public function chekToken($token) { JWT::$leeway = 60; //当前时间减去60,把时间留点余地 $decoded = JWT::decode($token, new Key(md5($this->salt), 'HS256')); return $decoded; }}- 用户登录后,生成 JWT 标识
<?phpdeclare (strict_types=1);namespace app\controller;use think\Request;use app\ResponseCode;use app\Helper;use app\model\User as UserModel;use app\services\JwtService;class License{ public function login(Request $request) { $data = $request->only(['username', 'password', 'code']); // ....进行验证的相关逻辑... $user = UserModel::where('username', $data['username'])->find(); // 验证通过生成 JWT, 返回给前端保存 $token = (new JwtService())->generateToken($user); return json([ 'code' => ResponseCode::SUCCESS, 'message' => '登录成功', 'data' => [ 'token' => $token ] ]); }}- 中间件验证用户是否登录
- 在
middleware.php注册中间件
<?php// 全局中间件定义文件return [ // ...其他中间件 // JWT验证 \app\middleware\Auth::class];- 注册中间件后,在权限验证中间件中完善验证逻辑
<?phpdeclare (strict_types=1);namespace app\middleware;use app\ResponseCode;use app\services\JwtService;class Auth{ private $router_white_list = ['login']; public function handle($request, \Closure $next) { if (!in_array($request->pathinfo(), $this->router_white_list)) { $token = $request->header('token'); try { // jwt 验证 $jwt = (new JwtService())->chekToken($token); } catch (\Throwable $e) { return json([ 'code' => ResponseCode::ERROR, 'msg' => 'Token验证失败' ]); } $request->user = $jwt->user; } return $next($request); }}边栏推荐
- See how Tencent does interface automation testing
- 太方便了,钉钉上就可完成代码发布审批啦!
- Play the music of youth
- 记一次重复造轮子(Obsidian 插件设置说明汉化)
- NetCore3.1 Json web token 中间件
- The problem of the maximum difference between the left and right maxima
- Flet tutorial 06 basic introduction to textbutton (tutorial includes source code)
- 面对同样复杂的测试任务为什么大老很快能梳理解决方案,阿里十年测试工程师道出其中的技巧
- Go notes (1) go language introduction and characteristics
- Automatic generation of interface automatic test cases by actual operation
猜你喜欢
随机推荐
LeetCode 8. String conversion integer (ATOI)
Practice examples to understand JS strong cache negotiation cache
哈希表、哈希函数、布隆过滤器、一致性哈希
Automatic generation of interface automatic test cases by actual operation
扩展你的KUBECTL功能
jekins初始化密码没有或找不到
左右最值最大差问题
acwing 3302. Expression evaluation
九齐NY8B062D MCU规格书/datasheet
ICML 2022 | meta proposes a robust multi-objective Bayesian optimization method to effectively deal with input noise
GVM use
[observation] Lenovo: 3x (1+n) smart office solution, releasing the "multiplier effect" of office productivity
RFID仓储管理系统解决方案的优点
工厂从自动化到数字孪生,图扑能干什么?
[in-depth learning] review pytoch's 19 loss functions
企业数字化转型最佳实践案例:基于云的数字化平台系统安全措施简介与参考
Hash哈希竞猜游戏系统开发如何开发丨哈希竞猜游戏系统开发(多套案例)
HMS Core 统一扫码服务
GVM使用
Managed service network: application architecture evolution in the cloud native Era