柚子快報(bào)激活碼778899分享：php + JWT詳解

http://yzkb.51969.com/

JWT 概述

JWT（JSON Web Token）是一個(gè)開放的標(biāo)準(zhǔn)（RFC 7519），它定義了一種簡(jiǎn)潔、自包含的方式，用于通信雙方之間安全地將信息作為一個(gè) JSON 對(duì)象進(jìn)行傳輸。此信息可以被驗(yàn)證和信任，因?yàn)樗粩?shù)字簽名。

JWT 結(jié)構(gòu)主要由三部分組成：

Header：頭部通常由兩部分組成：token 類型和使用的哈希算法。Payload：載荷包含聲明。聲明是關(guān)于實(shí)體（通常是用戶）的信息以及附加元數(shù)據(jù)。Signature：生成簽名部分需要對(duì) header 和 payload 的 Base64Url 編碼進(jìn)行編碼，然后使用 header 中指定的哈希算法和一個(gè)密鑰進(jìn)行簽名。

JWT 主要有兩個(gè)作用：身份驗(yàn)證和信息交換。

身份驗(yàn)證：最常見的使用場(chǎng)景是身份驗(yàn)證。當(dāng)用戶登錄后，每個(gè)后續(xù)請(qǐng)求都會(huì)包含 JWT，允許用戶訪問該令牌允許的路由、服務(wù)和資源。由于 JWT 是無狀態(tài)的，因此它們無需保留或同步令牌數(shù)據(jù)，從而能輕松實(shí)現(xiàn)擴(kuò)展性。信息交換：JWT 在各方之間安全地傳輸信息。因?yàn)槿绻褂霉_/私密密鑰對(duì)對(duì) JWT 進(jìn)行簽名，就可以確保發(fā)送者是他們所聲稱的人。此外，由于簽名部分是使用 header 和 payload 信息以及密鑰計(jì)算出來的，因此還可以驗(yàn)證內(nèi)容沒有被篡改。

JWT 的使用流程

下面是一種典型的 JWT 使用流程：

用戶登錄：用戶通過提供用戶名和密碼等憑據(jù)向服務(wù)器發(fā)出登錄請(qǐng)求。生成 JWT：服務(wù)器驗(yàn)證這些憑據(jù)，如果它們是正確的，然后將使用密鑰對(duì)相關(guān)用戶數(shù)據(jù)（如用戶 ID、角色等）進(jìn)行簽名，以生成 JWT。發(fā)送 JWT：服務(wù)器然后將此 JWT 發(fā)送回客戶端，通常在響應(yīng)體或響應(yīng)頭中。存儲(chǔ) JWT：客戶端接收到 JWT 后將其存儲(chǔ)在某處，通常是在 Cookie 或 localStorage 中。使用 JWT：之后，當(dāng)客戶端向服務(wù)器發(fā)出需要身份驗(yàn)證的請(qǐng)求時(shí)（例如獲取用戶特定的數(shù)據(jù)），它會(huì)在請(qǐng)求頭的 Authorization 字段中包含此 JWT。格式通常是 Bearer YOUR_JWT_TOKEN。驗(yàn)證 JWT：服務(wù)器將接收到的 JWT 解碼并驗(yàn)證簽名，確認(rèn)這是否是在登錄時(shí)由自己生成并發(fā)給該用戶的 JWT。如果驗(yàn)證成功，則處理請(qǐng)求；如果驗(yàn)證失?。ɡ?JWT 無效或已過期），則返回錯(cuò)誤。

刷新 JWT：在某些情況下，可以使用刷新令牌模式來獲取新的 JWT，而不需要用戶重新登錄。這是一種安全性和持久登錄的平衡方式。

JWT 與傳統(tǒng) Token 的區(qū)別

JWT 和傳統(tǒng)的 token 都可用于身份驗(yàn)證，但它們?cè)谝恍╆P(guān)鍵方面有所不同，并且 JWT 帶來了一些明顯的優(yōu)勢(shì)：

自包含性：JWT 是自包含的，因?yàn)樗斜匾男畔ⅲ瑹o需查詢額外的數(shù)據(jù)源就可以驗(yàn)證和處理請(qǐng)求。這使得它在分布式系統(tǒng)中特別有用。無狀態(tài)性：JWT 是無狀態(tài)的，這意味著服務(wù)器不需要存儲(chǔ)任何會(huì)話信息。每次用戶發(fā)送請(qǐng)求時(shí)，都會(huì)帶上 JWT，其中包含所有需要驗(yàn)證身份的信息?？蓴U(kuò)展性：您可以在 JWT 的負(fù)載（payload）部分添加多種聲明，以傳遞更多關(guān)于用戶的信息或其他相關(guān)數(shù)據(jù)。支持跨域：JWT 可用于不同域之間的身份驗(yàn)證，這對(duì)于微服務(wù)架構(gòu)和跨域資源共享（CORS）非常有用。性能：由于 JWT 自包含并且無狀態(tài)，所以它可以減少數(shù)據(jù)庫(kù)查找，從而提高應(yīng)用程序的性能。

相比之下，傳統(tǒng)的 token 通常是隨機(jī)生成的字符串，存儲(chǔ)在服務(wù)器端。當(dāng)客戶端發(fā)出請(qǐng)求時(shí)，服務(wù)器需要查找這個(gè) token 才能驗(yàn)證用戶。這可能導(dǎo)致額外的數(shù)據(jù)庫(kù)查詢，增加了復(fù)雜性并降低了性能。

JWT 過期問題的處理

處理 JWT 過期有幾種常見的策略：

短期令牌 + 長(zhǎng)期刷新令牌：此策略中使用兩種 token。JWT 有效期設(shè)置得較短，用于授權(quán)用戶訪問資源。另外一個(gè)是長(zhǎng)期的“刷新令牌”，用于在 JWT 過期后獲取新的 JWT，而無需讓用戶重新登錄。這種方式既提供了安全性（如果 JWT 被盜，它將很快過期），又保持了用戶體驗(yàn)（即使 JWT 過期，用戶也不需要重新輸入用戶名和密碼）?；瑒?dòng)會(huì)話：每次用戶與應(yīng)用程序交互時(shí)，都更新 JWT 的過期時(shí)間。這意味著只要用戶保持活躍，他們的會(huì)話將永不過期。但是，如果用戶一段時(shí)間內(nèi)未進(jìn)行任何活動(dòng)，則他們的 JWT 將過期，他們必須重新登錄。這種方法必須要小心處理，因?yàn)轭l繁生成新的 JWT 可能會(huì)帶來性能問題。提示用戶重新登錄：當(dāng) JWT 過期后，可以簡(jiǎn)單地向用戶顯示一個(gè)消息，提示他們需要重新登錄。這是最簡(jiǎn)單的處理方式，但可能對(duì)用戶體驗(yàn)產(chǎn)生負(fù)面影響，特別是如果 JWT 的有效期設(shè)置得非常短。

總的來說，如何處理 JWT 過期取決于您的具體應(yīng)用和安全需求。不同的方法有各自的優(yōu)點(diǎn)和缺點(diǎn)，您需要找到適合您場(chǎng)景的最佳解決方案。

JWT 的安全問題

如果 JWT 令牌被竊取，確實(shí)會(huì)引發(fā)安全問題。因?yàn)?JWT 是自包含的，也就是說它包含了關(guān)于用戶的所有必要信息。一旦被竊取，攻擊者可以使用此令牌訪問和操作系統(tǒng)中應(yīng)該由用戶控制的數(shù)據(jù)和功能。

為了防止 JWT 被竊取，你可以采取以下幾種策略：

使用 HTTPS：始終應(yīng)在安全的 HTTPS 連接上發(fā)送 JWT，以防止網(wǎng)絡(luò)監(jiān)聽。設(shè)置過期時(shí)間：JWT 應(yīng)該具有較短的過期時(shí)間。這樣即使它們被竊取，攻擊者只能在有限的時(shí)間內(nèi)使用。存儲(chǔ)安全：如果在瀏覽器中使用 JWT，不應(yīng)該將其存儲(chǔ)在 localStorage 或 sessionStorage 中，因?yàn)檫@些地方容易受到 XSS 攻擊。相反，應(yīng)使用 HttpOnly cookie 存儲(chǔ) JWT，因?yàn)檫@種類型的 cookie 對(duì)腳本不可見，從而降低風(fēng)險(xiǎn)。防止 CSRF：雖然使用 HttpOnly Cookie 可以防止 XSS，但可能會(huì)引入另一種攻擊（CSRF）。你需要一個(gè)額外的 CSRF 令牌來防止這種攻擊。令牌無效化：您可以在服務(wù)器端實(shí)現(xiàn)黑名單機(jī)制，在 JWT 被盜或用戶登出時(shí)廢除 JWT。不存儲(chǔ)敏感數(shù)據(jù)：JWT 可以被解碼獲得其中的數(shù)據(jù)，因此不應(yīng)該在其中存儲(chǔ)敏感信息，如密碼等。

雖然 JWT 可以增加應(yīng)用程序的安全性，但它也引入了新的安全問題。理解這些問題并采取恰當(dāng)?shù)念A(yù)防措施是非常重要的。

如何在PHP中使用JWT

要在 PHP 中使用 JWT 進(jìn)行前后端通信，您需要首先通過 Composer 安裝一個(gè)適合的庫(kù)，例如，firebase/php-jwt。以下是如何生成和驗(yàn)證 JWT 的基本步驟：

首先，安裝 firebase/php-jwt。在項(xiàng)目目錄中運(yùn)行以下命令： composer require firebase/php-jwt 生成 JWT 的示例代碼如下：

require 'vendor/autoload.php';

use Firebase\JWT\JWT;

$key = "example_key";

$payload = array(

"iss" => "http://domain.com",

"aud" => "http://domain.com",

"iat" => time(),

"nbf" => time() + 10,

"exp" => time() + 3600,

"data" => [

"id" => 1,

"email" => "admin@domain.com"

]

);

$jwt = JWT::encode($payload, $key);

echo "Your token:\n" . print_r($jwt, true) . "\n";

?> 當(dāng)您從客戶端收到已簽名的 JWT 后，可以使用下面的代碼對(duì)其進(jìn)行解碼：

require 'vendor/autoload.php';

use \Firebase\JWT\JWT;

$key = "example_key";

$jwt = $_GET["jwt"];

try {

$decoded = JWT::decode($jwt, $key, array('HS256'));

print_r($decoded->data);

} catch (\Exception $e) {

echo 'Caught exception: ', $e->getMessage(), "\n";

}

?>

這就是在 PHP 中使用 firebase/php-jwt 生成和解析 JWT 的基本步驟。對(duì)于實(shí)際的應(yīng)用場(chǎng)景，您可能需要更詳細(xì)地處理錯(cuò)誤和異常，并確保安全性。

“短期令牌 + 長(zhǎng)期刷新令牌” 的實(shí)現(xiàn)方式

"短期令牌 + 長(zhǎng)期刷新令牌" 的策略是一種常用的處理 JWT 過期的方式?；玖鞒倘缦拢?/p>

用戶登錄并驗(yàn)證憑證。如果驗(yàn)證成功，服務(wù)器生成 JWT 和一個(gè)長(zhǎng)期的“刷新令牌”。服務(wù)器將 JWT 和刷新令牌發(fā)送到客戶端。當(dāng) JWT 過期后，客戶端會(huì)發(fā)送包含刷新令牌的請(qǐng)求到后端，請(qǐng)求新的 JWT。服務(wù)器接收到刷新令牌，驗(yàn)證其有效性，如果有效則發(fā)出新的 JWT。

以下是 Node.js 和 Express 實(shí)現(xiàn) JWT 刷新機(jī)制的例子：

// 登錄路由

app.post('/login', (req, res) => {

const user = ... // 驗(yàn)證成功后，獲取用戶信息

const token = jwt.sign({ _id: user._id }, private_key, { expiresIn: '15m' });

const refreshToken = new RefreshToken({ token: jwt.sign({}, refresh_token_secret) });

await refreshToken.save();

res.json({ jwt: token, refreshToken: refreshToken.token });

});

// 刷新 JWT 路由

app.post('/refresh', async (req, res) => {

const refreshToken = req.body.token;

if (!refreshToken) return res.sendStatus(401);

const validToken = await RefreshToken.findOne({ token: refreshToken });

if (!validToken) return res.sendStatus(403);

const newToken = jwt.sign({ _id: user._id }, private_key, { expiresIn: '15m' });

res.json({ jwt: newToken });

});

這只是一個(gè)基本示例，實(shí)際實(shí)施可能需要更詳細(xì)的錯(cuò)誤處理和安全措施，例如處理刷新令牌的失效，防止刷新令牌被竊取等。

柚子快報(bào)激活碼778899分享：php + JWT詳解

http://yzkb.51969.com/

文章來源