您的位置:首页 > 汽车 > 时评 > php 实现JWT

php 实现JWT

2024/12/23 16:36:03 来源:https://blog.csdn.net/Crazy_shark/article/details/142147246  浏览:    关键词:php 实现JWT

在 PHP 中,JSON Web Token (JWT) 是一种开放标准 (RFC 7519) 用于在各方之间作为 JSON 对象安全地传输信息。JWT 通常用于身份验证系统,如 OAuth2 或基于令牌的身份验证。

以下是一个基本的 PHP 实现 JWT 生成和验证的代码示例。

JWT 的组成部分

JWT 包含三个部分:

  1. Header(头部):说明算法和令牌类型。
  2. Payload(有效载荷):包含声明(如用户数据、过期时间等)。
  3. Signature(签名):用于验证令牌是否被篡改。

JWT 格式如下:
header.payload.signature

基本步骤

  1. 编码:使用 Base64 编码 Header 和 Payload。
  2. 签名:使用 Header 中定义的算法对编码后的 Header 和 Payload 进行签名。
  3. 验证:解析 JWT 时,通过检查签名是否有效来验证令牌。

代码实现

<?phpclass JWT
{private static $secretKey = 'your_secret_key'; // 加密使用的秘钥private static $algo = 'HS256';  // 使用的算法/*** 生成JWT* * @param array $payload 数据负载* @return string*/public static function generateJWT($payload){// 1. 生成header$header = json_encode(['alg' => self::$algo, 'typ' => 'JWT']);$base64Header = self::base64UrlEncode($header);// 2. 生成payload$base64Payload = self::base64UrlEncode(json_encode($payload));// 3. 生成signature$signature = hash_hmac('sha256', "$base64Header.$base64Payload", self::$secretKey, true);$base64Signature = self::base64UrlEncode($signature);// 4. 组合JWT$jwt = "$base64Header.$base64Payload.$base64Signature";return $jwt;}/*** 验证JWT* * @param string $token JWT令牌* @return array|bool 如果验证成功返回payload,否则返回false*/public static function verifyJWT($token){// 1. 拆分JWT$parts = explode('.', $token);if (count($parts) !== 3) {return false;}list($base64Header, $base64Payload, $base64Signature) = $parts;// 2. 解码Header和Payload$header = json_decode(self::base64UrlDecode($base64Header), true);$payload = json_decode(self::base64UrlDecode($base64Payload), true);$signature = self::base64UrlDecode($base64Signature);// 3. 验证签名$expectedSignature = hash_hmac('sha256', "$base64Header.$base64Payload", self::$secretKey, true);if (!hash_equals($signature, $expectedSignature)) {return false;}// 4. 验证过期时间if (isset($payload['exp']) && $payload['exp'] < time()) {return false;}return $payload;}/*** Base64URL编码* * @param string $data* @return string*/private static function base64UrlEncode($data){return rtrim(strtr(base64_encode($data), '+/', '-_'), '=');}/*** Base64URL解码* * @param string $data* @return string*/private static function base64UrlDecode($data){return base64_decode(strtr($data, '-_', '+/'));}
}

说明:

  1. 生成 JWT

    • 使用  generateJWT($payload)  方法生成 JWT。
    •  header  包含签名算法信息(这里使用 HS256),payload 包含用户信息或其他声明。
    • hash_hmac('sha256') 方法签名生成的 JWT。
  2. 验证 JWT

    • 使用 verifyJWT($token) 方法验证 JWT。
    • 验证签名是否正确,以及 payload 中是否设置了过期时间(可选)。
  3. Base64 编码/解码

    • 使用 base64UrlEncode() base64UrlDecode() 实现 URL 安全的 Base64 编码。

测试代码

// 测试JWT生成
$payload = ['user_id' => 123,'username' => 'john_doe','exp' => time() + 3600  // 过期时间1小时
];$jwt = JWT::generateJWT($payload);
echo "Generated JWT: " . $jwt . PHP_EOL;// 测试JWT验证
$decodedPayload = JWT::verifyJWT($jwt);
if ($decodedPayload) {echo "JWT is valid! Payload: " . print_r($decodedPayload, true) . PHP_EOL;
} else {echo "Invalid JWT!" . PHP_EOL;
}

JWT 生成结果示例

Generated JWT: eyJhbGciOiAiSFMyNTYiLCAidHlwIjogIkpXVCJ9.eyJ1c2VyX2lkIjogMTIzLCAidXNlcm5hbWUiOiAiam9obl9kb2UiLCAiZXhwIjogMTYxNjg1MjIwMn0.J0wLkhlUkTftKzVzR7Y9pVwSBU-WESCTwks2FyUwDUU
JWT is valid! Payload: Array
([user_id] => 123[username] => john_doe[exp] => 1616852202
)

说明:

  • 过期时间 exp:你可以在 payload 中加入 exp,它代表 JWT 过期的时间戳,通常用来限制令牌的有效期。
  • 签名算法:这里使用的是 HS256(HMAC-SHA256),你可以根据需求换成其他的对称或非对称签名算法。

应用场景

  1. 用户认证:基于 JWT 的用户登录、身份验证机制。
  2. API 授权:通过 JWT 传递身份验证信息,允许或拒绝 API 请求。
  3. 微服务间通信:在分布式系统中,JWT 可以用于服务之间的身份验证和授权。

版权声明:

本网仅为发布的内容提供存储空间,不对发表、转载的内容提供任何形式的保证。凡本网注明“来源:XXX网络”的作品,均转载自其它媒体,著作权归作者所有,商业转载请联系作者获得授权,非商业转载请注明出处。

我们尊重并感谢每一位作者,均已注明文章来源和作者。如因作品内容、版权或其它问题,请及时与我们联系,联系邮箱:809451989@qq.com,投稿邮箱:809451989@qq.com