PHP使用JWT做Api接口身份認證的示例分析-創(chuàng)新互聯(lián)

小編給大家分享一下PHP使用JWT做Api接口身份認證的示例分析，相信大部分人都還不怎么了解，因此分享這篇文章給大家參考一下，希望大家閱讀完這篇文章后大有收獲，下面讓我們一起去了解一下吧！

10余年的臨翔網(wǎng)站建設(shè)經(jīng)驗，針對設(shè)計、前端、開發(fā)、售后、文案、推廣等六對一服務(wù)，響應(yīng)快，48小時及時工作處理。成都全網(wǎng)營銷推廣的優(yōu)勢是能夠根據(jù)用戶設(shè)備顯示端的尺寸不同，自動調(diào)整臨翔建站的顯示方式，使網(wǎng)站能夠適用不同顯示終端，在瀏覽器中調(diào)整網(wǎng)站的寬度，無論在任何一種瀏覽器上瀏覽網(wǎng)站，都能展現(xiàn)優(yōu)雅布局與設(shè)計，從而大程度地提升瀏覽體驗。成都創(chuàng)新互聯(lián)公司從事“臨翔網(wǎng)站設(shè)計”,“臨翔網(wǎng)站推廣”以來，每個客戶項目都認真落實執(zhí)行。

1.JWT是什么？

JWT官網(wǎng) https://jwt.io

官網(wǎng)簡介：JSON Web令牌（JWT）是一個開放標準（RFC 7519），它定義了一種緊湊且自包含的方式，用于在各方之間作為JSON對象安全地傳輸信息。由于此信息是經(jīng)過數(shù)字簽名的，因此可以被驗證和信任?？梢允褂妹孛埽ㄊ褂肏MAC算法）或使用RSA或ECDSA的公鑰/私鑰對對JWT進行簽名。
通常來說，JWT是一個由包含用戶信息所生成的加密串，將生成的JWT加密串放入所有的請求head中，前端通過設(shè)定的秘鑰加密參數(shù)，發(fā)送數(shù)據(jù)給后端，后端接收參數(shù)，按照設(shè)定的秘鑰，同樣加密接收參數(shù)，與前端加密參數(shù)做比對，保證請求有效并防止參數(shù)不被篡改。驗證通過就進行相關(guān)的邏輯處理，否則請求算作無效請求。

2.為什么使用JWT?

傳統(tǒng)互聯(lián)網(wǎng)項目在實現(xiàn)保持登錄狀態(tài)、退出登錄、接口請求等功能時會使用Session，但是眾所周知Session數(shù)據(jù)在產(chǎn)生后會存儲與服務(wù)器端，所以當用戶量達到一定程度會相應(yīng)影響到服務(wù)器的性能，且Session在前后端分離的項目中或是多服務(wù)器項目中的支持不是很好。但是Token不會產(chǎn)生這些問題，服務(wù)器端對Token只有生成和驗證操作，不會存放數(shù)據(jù)，針對前后端分離的項目，包括手機APP和當前熱門的小程序的支持都很不錯，所以Token成為了用于驗證的好選擇。

3.在項目中引入JWT擴展

composer require firebase/php-jwt

4.JWT具體使用步驟

在登錄控制器中

$key = 'e10adc3949ba59abbe56e057f20f883e';//自定義秘鑰，加密解密都需要用到
$time = time(); //當前時間
$token = [
  'iat' => $time, //簽發(fā)時間
  'nbf' => $time, //(Not Before)：某個時間點后才能訪問，比如設(shè)置time+30，表示當前時間30秒后才能使用
  'data' => [
    'userid' => 1,
    'username' => 'zqw.xyz',
  ]];
$jwtToken = \Firebase\JWT\JWT::encode($token, $key);

登錄成功后，將生成 token 返回給前端。前端記錄該用戶信息的 token ，將 token 放入 head，之后的請求中都需要 head 都需包含 token。

我們可以定義一個 AppID 和 AppSecret，同時告知前端。前端每次請求中攜帶 AppID ，請求參數(shù)加入一個必要參數(shù) sign ，sign 是由所有請求參數(shù)拼接而成加密后的加密串。
注意： sign 參數(shù)值，需要加入 AppID 所需要對應(yīng) AppSecret，請求參數(shù)和后端約定相同排序規(guī)則，然后進行加密。

后端驗證簽名是否通過

$token = $request->instance()->header('token');
if(empty($token)){
  abort(0, 'token驗證失敗');
}
$appid = $request->param('appid');
if(empty($appid)){
  abort(0, 'appid驗證失敗');
}
$request_time = $request->param('request_time');
if(empty($request_time)){
  abort(0,'時間戳驗證失敗');
}
$random_number = $request->param('random_number');
if(empty($random_number)){
  abort(0,'數(shù)字驗證失敗');
}
//記錄每次請求的uuid，如果uuid已存在，則該次請求無效。

$request_uuid = Db::name('request')->where('uuid',$random_number)->find();
if(count($request_uuid) > 1){
  abort(0,'請求無效');
}else{
  Db::name('request')->insert([
    'uuid' => $random_number,
    'add_time' => time(),
    'url' => $request->baseUrl(),
  ]);
}



$secret_type = [
  'appid1' => 'bd98e16b5eaf3e49fa2ecd3f9ee8f6ae',
  'appid2' => 'b7e23061042f2799180e41d94cdbf861',
];
$secret = $secret_type[$appid];
if(empty($random_number)){
  abort(0,'secret驗證失敗');
}
$sign = $request->param('sign');
if(empty($sign)){
  abort(0,'sign驗證失敗');
}

$all_obj['secret'] = $secret;
ksort($all_obj);
$sign_key = '';
foreach ($all_obj as $k => $v) {
  $sign_key .= $k.='='.$v.'&';
}
$sign_key = substr_replace($sign_key ,"", -1);
$md_sign = md5($sign_key);
if($sign !== $md_sign){
  abort(0,'簽名驗證失敗');
}
注意： 為防止重復(fù)請求，建議由前端每次傳入 uuid ，根據(jù) uuid 請求是否重復(fù)。
6.驗證通過后，進行相關(guān)的業(yè)務(wù)邏輯代碼處理。

// 
$result = array(
  'status' => 1,
  'msg' => '獲取成功',
  'result' => array(
  )
);
return json($result)

以上是“PHP使用JWT做Api接口身份認證的示例分析”這篇文章的所有內(nèi)容，感謝各位的閱讀！相信大家都有了一定的了解，希望分享的內(nèi)容對大家有所幫助，如果還想學(xué)習(xí)更多知識，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道！

本文標題：PHP使用JWT做Api接口身份認證的示例分析-創(chuàng)新互聯(lián)
文章源于：http://muchs.cn/article48/dsgdep.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供云服務(wù)器、ChatGPT、App開發(fā)、做網(wǎng)站、企業(yè)建站、靜態(tài)網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)