在现代的 web 应用程序开发中，安全已经成为了一个不可或缺的部分。在这方面，身份认证和授权是至关重要的，因为它们确保只有授权用户可以访问受保护的资源。有许多身份认证和授权机制可用，其中 jwt（json web token）是一种特别流行的机制，因为它简单、灵活、可扩展且安全。在这篇文章中，我们将探讨如何使用 php 和 jwt 进行身份认证和授权。
第一部分：jwt 基础
json web token（jwt）是一种通过网络安全地传输声明和身份验证信息的开放标准。它由三个部分组成：头部、载荷和签名。
头部包含算法和 token 类型信息。它的示例可能如下所示：
{ "alg": "hs256", "typ": "jwt"}
载荷包含需要传输的信息。例如，用户名、角色和其他有关用户信息。载荷的示例可能如下所示：
{ "sub": "1234567890", "name": "john doe", "iat": 1516239022}
签名是包含密钥的加密字符串，用于验证 jwt 是否有效。签名的示例可能如下所示：
hmacsha256( base64urlencode(header) + "." + base64urlencode(claims), secret)
第二部分：使用 php 实现 jwt
为了使用 jwt 进行身份认证和授权，我们需要一个 php 类来生成和验证 jwt。让我们看一下一个简单的 php jwt 类的实现。
<?phpclass jwt { private $header; private $payload; private $secret; public function __construct($header, $payload, $secret) { $this->header = $header; $this->payload = $payload; $this->secret = $secret; } public function encode() { $header = $this->base64urlencode(json_encode($this->header)); $payload = $this->base64urlencode(json_encode($this->payload)); $signature = $this->base64urlencode(hash_hmac('sha256', $header . '.' . $payload, $this->secret, true)); return $header . '.' . $payload . '.' . $signature; } public function decode($jwt) { $parts = explode('.', $jwt); $header = json_decode($this->base64urldecode($parts[0]), true); $payload = json_decode($this->base64urldecode($parts[1]), true); $signature = $this->base64urldecode($parts[2]); $result = hash_hmac('sha256', $parts[0] . '.' . $parts[1], $this->secret, true); if (hash_equals($result, $signature)) { return $payload; } else { return null; } } private function base64urlencode($data) { return rtrim(strtr(base64_encode($data), '+/', '-_'), '='); } private function base64urldecode($data) { return base64_decode(str_pad(strtr($data, '-_', '+/'), strlen($data) % 4, '=', str_pad_right)); }}
在这个 php 类中，$header、$payload 和 $secret 存储了 jwt 的头部、载荷和密钥信息。encode() 方法使用 header、payload 和 secret 来生成 jwt 字符串。decode() 方法使用给定的 jwt 字符串和密钥来获取载荷信息。
base64urlencode() 和 base64urldecode() 方法用于编码和解码 jwt 的头部和载荷。
第三部分：将 jwt 用于身份认证和授权
现在，我们已经了解了 jwt 的基础知识，并且有一个 php jwt 类用于生成和验证 jwt。那么，我们如何将 jwt 用于身份认证和授权呢？
首先，当用户登录时，可以使用 jwt 发送一个令牌来验证他们的身份。服务器将生成一个带有用户名和密码有效载荷的 jwt，并将其发送给客户端。客户端将在每个请求中将此令牌作为 authorization 标头的 bearer 认证方案进行发送。服务器将从标头中提取 jwt 并根据需要验证其有效性。
以下是一个示例 jwt 实现用于身份认证和授权：
<?php// 使用 jwt 登录function login($username, $password) { // 检查用户名和密码是否正确 $is_valid = validate_user_credentials($username, $password); if (!$is_valid) { return null; } // 生成 jwt $header = array('alg' => 'hs256', 'typ' => 'jwt'); $payload = array('sub' => $username); $jwt = new jwt($header, $payload, $globals['secret']); $token = $jwt->encode(); // 返回 jwt return $token;}// 验证 jwtfunction validate_token($jwt) { $jwt = new jwt($header, $payload, $globals['secret']); $payload = $jwt->decode($jwt); if ($payload == null) { return false; } // 验证成功 return true;}// 保护资源function protect_resource() { // 检查 jwt 是否有效 $jwt = get_authorization_header(); if (!validate_token($jwt)) { http_response_code(401); exit(); } // 资源保护 // ...}// 从标头获取 jwtfunction get_authorization_header() { $headers = getallheaders(); if (isset($headers['authorization'])) { return $headers['authorization']; } return null;}// 检查用户名和密码是否正确function validate_user_credentials($username, $password) { // 验证用户名和密码 // ... return true;}// 密钥$globals['secret'] = "my-secret";// 登录并获取 jwt$token = login("username", "password");// 将 jwt 添加到标头$headers = array('authorization: bearer ' . $token);// 保护资源protect_resource($headers);
在这个示例中，login() 方法使用 jwt 类创建一个 jwt，并返回它以便客户端使用。validate_token() 方法可以验证 jwt 的有效性。如果 jwt 无效，将返回 false。
get_authorization_header() 方法从请求标头中提取 jwt。 protect_resource() 方法用于保护 web 资源。如果 jwt 无效，该函数将引发 401 错误。
最后，在全局范围内定义了一个密钥，$globals ['secret'] ，它应该是一个长字符串。请注意，此密码是秘密密码，不应包含在您的代码库中。通常，该密钥会存储在环境变量中，并由运行 web 服务器的操作系统管理。
结论
jwt 是一个非常简单、灵活、可扩展且安全的机制，可用于 web 应用的身份认证和授权。在本文中，我们已经了解了 jwt 的基本原理，并且看到了一个示例 php 类，用于生成和验证 jwt。我们还看到了如何将 jwt 用于身份验证和授权。现在，您可以在自己的 web 应用程序中尝试 jwt，以确保您的应用在安全性方面更可靠。
以上就是php开发：如何使用 jwt 进行身份认证和授权的详细内容。