thinkphp6.0.7中如何使用JWT

本篇内容介绍了“thinkphp6.0.7中如何使用JWT”的有关知识，在实际案例的操作过程中，不少人都会遇到这样的困境，接下来就让小编带领大家学习一下如何处理这些情况吧！希望大家仔细阅读，能够学有所成！

JWT是什么

JWT是json web token缩写。它将用户信息加密到token里，服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性，只要正确即通过验证。基于token的身份验证可以替代传统的cookie+session身份验证方法。

基于session的登录认证

在传统的用户登录认证中，因为http是无状态的，所以都是采用session方式。用户登录成功，服务端会保证一个session，当然会给客户端一个sessionId，客户端会把sessionId保存在cookie中，每次请求都会携带这个sessionId。

cookie+session这种模式通常是保存在内存中，而且服务从单服务到多服务会面临的session共享问题，随着用户量的增多，开销就会越大。而JWT不是这样的，只需要服务端生成token，客户端保存这个token，每次请求携带这个token，服务端认证解析就可。

JWT由三个部分组成：header.payload.signature

header部分：

  {      "alg": "HS256",      "typ": "JWT"    }

对应base64UrlEncode编码为：eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9说明：该字段为json格式。alg字段指定了生成signature的算法，默认值为 HS256，typ默认值为JWT

payload部分：

    {      "sub": "1234567890",      "name": "John Doe",      "iat": 1516239022    }

对应base64UrlEncode编码为：eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ说明：该字段为json格式，表明用户身份的数据，可以自己自定义字段，很灵活。sub 面向的用户，name 姓名 ,iat 签发时间。例如可自定义示例如下：

  {        "iss": "admin",           //该JWT的签发者        "sub": "www.admin.com",   //面向的用户        “aud”: "zhangsan",        //接收jwt的一方        "iat": 1535967430,        //签发时间        "exp": 1535974630,        //过期时间        "nbf": 1535967430,        //该时间之前不接收处理该Token         "jti": "9f10e796726e332cec401c569969e13e"   //该Token唯一标识    }

signature部分：

    HMACSHA256(      base64UrlEncode(header) + "." +      base64UrlEncode(payload),      123456    )

对应的签名为：keH6T3x1z7mmhKL1T3r9sQdAxxdzB6siemGMr_6ZOwU最终得到的JWT的Token为(header.payload.signature)：eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.keH6T3x1z7mmhKL1T3r9sQdAxxdzB6siemGMr_6ZOwU说明：对header和payload进行base64UrlEncode编码后进行拼接。通过key（这里是123456）进行HS256算法签名。

JWT使用流程

初次登录：用户初次登录，输入用户名密码密码验证：服务器从数据库取出用户名和密码进行验证生成JWT：服务器端验证通过，根据从数据库返回的信息，以及预设规则，生成JWT返还JWT：服务器的HTTP RESPONSE中将JWT返还带JWT的请求：以后客户端发起请求，HTTP REQUESTHEADER中的Authorizatio字段都要有值，为JWT服务器验证JWT

jwt版本

php中jwt有多个版本：我选择的是最新版本。别问为什么，你买电子产品都是买新不买旧呢。

安装jwt

使用composer安装

composer require lcobucci/jwt

从github上下载

点我跳转到github地址：https://github.com/lcobucci/jwt

依赖

PHP 5.5+OpenSSL扩展

使用

参数解释

在使用之前先解释下上面参数的意思：
名称 解释
iss (issuer) issuer 请求实体，可以是发起请求的用户的信息，也可是jwt的签发者
sub (Subject) 设置主题，类似于发邮件时的主题
aud (audience) 接收jwt的一方
exp (expire) token过期时间
nbf (not before) 当前时间在nbf设定时间之前，该token无法使用
iat (issued at) token创建时间
jti (JWT ID) 对当前token设置唯一标示

PHP如何实现JWT

本人使用的是PHP 7.3.4，不废话，直接上代码，新建jwt.php，复制粘贴如下：

<?phpclass Jwt {     //头部    private static $header=array(        'alg'=>'HS256', //生成signature的算法        'typ'=>'JWT'    //类型    );     //使用HMAC生成信息摘要时所使用的密钥    private static $key='123456';          public static function getToken(array $payload)    {        if(is_array($payload))        {            $base64header=self::base64UrlEncode(json_encode(self::$header,JSON_UNESCAPED_UNICODE));            $base64payload=self::base64UrlEncode(json_encode($payload,JSON_UNESCAPED_UNICODE));            $token=$base64header.'.'.$base64payload.'.'.self::signature($base64header.'.'.$base64payload,self::$key,self::$header['alg']);            return $token;        }else{            return false;        }    }          public static function verifyToken(string $Token)    {        $tokens = explode('.', $Token);        if (count($tokens) != 3)            return false;         list($base64header, $base64payload, $sign) = $tokens;         //获取jwt算法        $base64decodeheader = json_decode(self::base64UrlDecode($base64header), JSON_OBJECT_AS_ARRAY);        if (empty($base64decodeheader['alg']))            return false;         //签名验证        if (self::signature($base64header . '.' . $base64payload, self::$key, $base64decodeheader['alg']) !== $sign)            return false;         $payload = json_decode(self::base64UrlDecode($base64payload), JSON_OBJECT_AS_ARRAY);         //签发时间大于当前服务器时间验证失败        if (isset($payload['iat']) && $payload['iat'] > time())            return false;         //过期时间小宇当前服务器时间验证失败        if (isset($payload['exp']) && $payload['exp'] < time())            return false;         //该nbf时间之前不接收处理该Token        if (isset($payload['nbf']) && $payload['nbf'] > time())            return false;         return $payload;    }         private static function base64UrlEncode(string $input)    {        return str_replace('=', '', strtr(base64_encode($input), '+/', '-_'));    }         private static function base64UrlDecode(string $input)    {        $remainder = strlen($input) % 4;        if ($remainder) {            $addlen = 4 - $remainder;            $input .= str_repeat('=', $addlen);        }        return base64_decode(strtr($input, '-_', '+/'));    }         private static function signature(string $input, string $key, string $alg = 'HS256')    {        $alg_config=array(            'HS256'=>'sha256'        );        return self::base64UrlEncode(hash_hmac($alg_config[$alg], $input, $key,true));    }}     //***********测试和官网是否匹配begin****************************    $payload=array('sub'=>'1234567890','name'=>'John Doe','iat'=>1516239022);    $jwt=new Jwt;    $token=$jwt->getToken($payload);    echo "<pre>";    echo $token;        //对token进行验证签名    $getPayload=$jwt->verifyToken($token);    echo "<br><br>";    var_dump($getPayload);    echo "<br><br>";    //测试和官网是否匹配end            //自己使用测试begin    $payload_test=array('iss'=>'admin','iat'=>time(),'exp'=>time()+7200,'nbf'=>time(),'sub'=>'www.admin.com','jti'=>md5(uniqid('JWT').time()));;    $token_test=Jwt::getToken($payload_test);    echo "<pre>";    echo $token_test;        //对token进行验证签名    $getPayload_test=Jwt::verifyToken($token_test);    echo "<br><br>";    var_dump($getPayload_test);    echo "<br><br>";    //自己使用时候end

“thinkphp6.0.7中如何使用JWT”的内容就介绍到这里了，感谢大家的阅读。如果想了解更多行业相关的知识可以关注编程网网站，小编将为大家输出更多高质量的实用文章！