在現(xiàn)如今的Web應(yīng)用中,安全性一直是被大家關(guān)注的話題。我們不僅要確保數(shù)據(jù)的安全性,同時(shí)還要確保服務(wù)端和客戶端之間通信的安全性。同時(shí),我們需要確保應(yīng)用程序能夠執(zhí)行在需要身份驗(yàn)證的環(huán)境下。針對(duì)上述問題,Web開發(fā)者通常會(huì)使用JSON Web Tokens(JWT)來解決問題。本文將介紹PHP中如何使用JSON Web Token。
在開始介紹JWT之前,想先大家簡單介紹一下什么是一個(gè)Token。Token這個(gè)術(shù)語可以用于很多場景。取決于具體的語境而言,這個(gè)Token可以是一個(gè)動(dòng)態(tài)密碼、一個(gè)安全憑證、一個(gè)訪問令牌等。而在Web場景下,一個(gè)Token通常被用來驗(yàn)證用戶身份,并提供服務(wù)器和客戶端之間安全的數(shù)據(jù)傳輸。JSON Web Tokens(JWT)就是一種用于安全身份驗(yàn)證的令牌。
JWT由三部分組成:Header + Payload + Signature,分別代表:Header(頭部),Payload(數(shù)據(jù)簽名), Signature(簽名)。
理解JWT的三個(gè)部分:
Header由兩部分組成:Token的類型和采用的加密算法。組成格式如下:header = base64UrlEncode('{"alg":"HS256","typ":"JWT"}')
Payload就是你想要放在token里的數(shù)據(jù),至少提供一個(gè)有意義的值。payload是一個(gè)JSON對(duì)象。 payload內(nèi)可以包含任何數(shù)據(jù)可以被序列化為JSON的值。可以將用戶ID, 用戶權(quán)限, 加入時(shí)間等信息放入Payload中。例如:
$payload = [
"iss" => "example.com",
"aud" => "example.com",
"iat" => 1356999524,
"nbf" => 1357000000
];Signature 由三部分組成:
1. 使用Base64Url編碼后的Header
2. 使用Base64Url編碼后的Payload
3. Secrets:這個(gè)部分需要使用到Header里面指定的算法來進(jìn)行加密。這個(gè)部分需要開發(fā)者自己進(jìn)行管理,并且它需要加密Header和加密Payload。
完整的JWT例子:
$jwt = base64UrlEncode($header) . "." . base64UrlEncode($payload) . "." . $signature;這樣JWT就創(chuàng)建完成了,隨后我們就可以傳輸Token到客戶端了。
當(dāng)服務(wù)器收到來自客戶端的Token后,服務(wù)器會(huì)進(jìn)行對(duì)這個(gè)Token的驗(yàn)證,以確保Token是可接受的并且token內(nèi)部提供的信息是有效的。該過程將影響用戶的訪問權(quán)限。一旦服務(wù)器認(rèn)證成功,服務(wù)器只需要讀取Token中相關(guān)的信息就可以判斷訪問權(quán)限等級(jí)。
這里是一個(gè)使用JWT的示例代碼:
public function generateToken() {
$header = $this->buildHeader();
$payload = $this->buildPayload();
$jwtHeader = self::base64UrlEncode(json_encode($header));
$jwtPayload = self::base64UrlEncode(json_encode($payload));
$signature = self::generateSignature($jwtHeader, $jwtPayload);
return $jwtHeader . '.' . $jwtPayload . '.' . $signature;
}
public function validateToken($token) {
list($jwtHeader, $jwtPayload, $signature) = explode('.', $token);
$decodedHeader = json_decode(self::base64UrlDecode($jwtHeader), true);
$decodedPayload = json_decode(self::base64UrlDecode($jwtPayload), true);
$buildSignature = self::base64UrlEncode(json_encode($decodedHeader)) . '.' . self::base64UrlEncode(json_encode($decodedPayload));
return $signature === self::generateSignature($decodedHeader, $decodedPayload);
}
private static function generateSignature($jwtHeader, $jwtPayload) {
$secret = 'yoursecret';
$signature = hash_hmac('sha256', $jwtHeader . '.' . $jwtPayload, $secret, true);
return self::base64UrlEncode($signature);
}
private static function base64UrlEncode($data) {
return str_replace(['+', '/', '='], ['-', '_', ''], base64_encode($data));
}
private static function base64UrlDecode($data) {
return base64_decode(str_replace(['-', '_'], ['+', '/'], $data));
}到這里,我們已經(jīng)介紹了PHP中如何使用JWT。這種應(yīng)用場景下,JSON Web Tokens已經(jīng)成了一個(gè)很流行的解決方案。當(dāng)然,作為一個(gè)開發(fā)者,你需要仔細(xì)思考是否目前是你的應(yīng)用程序的最佳解決方案。如果你認(rèn)為這種解決方案是對(duì)你的應(yīng)用程序最好的,那么就立即執(zhí)行吧!