PHP无状态登陆:JWT
现在的软件开发项目大都使用前后端分离,项目后端接口遵循RESTful规范:(1)每一个URI代表一种资源;(2)客户端和服务器之间,传递这种资源的某种表现层;(3)客户端通过四个HTTP动词,对服务器端资源进行操作,实现"表现层状态转化"。这个时候,前后端不在同一个域名下,就存在跨域问题,使用session来记录登陆用户信息,就显得有些力不从心了,而且session需要存储在服务端,这样增加了服务器的压力,在集群环境下,session还不能进行共享。
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密,它不需要在服务端去保留用户的认证信息或者会话信息。这就意味着基于token认证机制的应用不需要去考虑用户在哪一台服务器登录了,这就为应用的扩展提供了便利。
JWT是由三段信息构成的,将这三段信息文本用.链接一起就构成了JWT字符串:第一部分我们称它为头部(header),第二部分我们称其为载荷(payload, 类似于飞机上承载的物品),第三部分是签证(signature)例如 “Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzUxMiIsImp0aSI6IndKdmhCY1ltYWV4Ym1wRDZhU2RON2MifQ.eyJpc3MiOiJOZXdQb3dlciIsInN1YiI6IndlYiIsImF1ZCI6ImZyb250ZW5kIiwiaWF0IjoxNTg3Nzg4NDA1LCJuYmYiOjE1ODc3ODg0MDUsImV4cCI6MTU4NzgxNzIwNSwianRpIjoid0p2aEJjWW1hZXhibXBENmFTZE43YyIsInVzZXJJbmZvIjoiaktOMWFXUUJxSFZ6WlhKT1lXMWxwV0ZrYldsdW8yWnBaQUdqWVdsa0FLTndhV1FBbzJOcFpBQ2tibUZ0WmJMbHNJXC9saFpUbGhZWGxoWVhtZ0x2bnJxR2tjbTlzWlFHb2RYTmxjbFI1Y0dVQnAyWnpkR0YwZFhNQnFIVnpaWEpzYVhOMGtLVjJhV1JsYndFPSIsImRhdGEiOiJrQT09In0.fRZgtcCrVgLMhOEH04fI8AVVDD-mOCxwxJSu3oUUmwTbVKTyWaYSJUkl0SxiMFLe-9pM4Km5UdP952HvETbiYw”
在php的tp框架中使用jwt:
安装jwt依赖 composer require firebase/php-jwt
/**
* 生成Token
* @param array $userInfo 用户信息
* @return string Token
*/
public static function encode(array $userInfo)
{
$iat = time();
$exp = $iat + Config::get('jwt.time_out');
$payload = ['data' => $userInfo, 'iat' => $iat, 'exp' => $exp];
$token = \Firebase\JWT\JWT::encode($payload, Config::get('jwt.key'));
return "Bearer {$token}";
}
/**
* 解密Token
* @param string $token Token
* @return array 解密结果
*/
public static function decode(string $token)
{
$token = trim(preg_replace('/Bearer /', '', $token, 1));
// if ($redis->exists("jwt:{$token}")) {
// return [403.16, '无法继续使用已被失效的Token'];
// }
$payload = null;
try {
$payload = \Firebase\JWT\JWT::decode($token, Config::get('jwt.key'), ['HS256']);
} catch (SignatureInvalidException $signatureInvalidException) {
return [403.16, ''];
} catch (BeforeValidException $beforeValidException) {
return [403.16, '禁止访问,无法验证的Token'];
} catch (ExpiredException $expiredException) {
return [202, ''];
} catch (UnexpectedValueException $unexpectedValueException) {
return [500, "JWT: {$unexpectedValueException->getMessage()}"];
}
return [200, (array)$payload->data, $token];
}
}
基类控制器中实现鉴权检查
/**
* 验证客户端授权
*/
private function _checkAuth()
{
if (!in_array("/{$this->controller}/{$this->action}", $this->jwtWhiteList)) {
$result = Jwt::decode($this->request->header('authorization') ?? '');
if ($result[0] !== 200) {
$msg = '';
switch ($result[0]){
// 接受但不处理
case 202:
$msg = '请求已接受,但Token过期,需重新申请';
break;
case 500:
$msg = '鉴权不存在,请重新申请';
$result[0] = 202;
break;
}
$this->error($msg, [], $result[0]);
}
$this->userInfo = $result[1];
$this->token = $result[2];
}
}
在用户登陆成功后,生成token返回给前端,前端将token放入header的authorization,每次登陆返回给服务端,服务端解析出token值,得到当前登陆信息,这样实现无状态登陆。
