欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

JWT登錄認(rèn)證實(shí)戰(zhàn)模擬過程全紀(jì)錄

 更新時(shí)間:2022年08月10日 12:11:10   作者:極客飛兔  
jwt是由用戶以用戶名、密碼登錄,服務(wù)端驗(yàn)證后,會生成一個(gè)token,返回給客戶端,客戶端在下次訪問的過程中攜帶這個(gè)token,服務(wù)端責(zé)每次驗(yàn)證這個(gè)token,下面這篇文章主要給大家介紹了關(guān)于JWT登錄認(rèn)證實(shí)戰(zhàn)模擬的相關(guān)資料,需要的朋友可以參考下

Token 認(rèn)證流程

  • 作為目前最流行的跨域認(rèn)證解決方案,JWT(JSON Web Token) 深受開發(fā)者的喜愛,主要流程如下:
  • 客戶端發(fā)送賬號和密碼請求登錄
  • 服務(wù)端收到請求,驗(yàn)證賬號密碼是否通過
  • 驗(yàn)證成功后,服務(wù)端會生成唯一的 token,并將其返回給客戶端
  • 客戶端接受到 token,將其存儲在 cookie 或者 localStroge 中
  • 之后每一次客戶端向服務(wù)端發(fā)送請求,都會通過 cookie 或者h(yuǎn)eader 攜帶該 token
  • 服務(wù)端驗(yàn)證 token 的有效性,通過才返回響應(yīng)的數(shù)據(jù)

基于 Token 認(rèn)證流程

Token 認(rèn)證優(yōu)點(diǎn)

  • 支持跨域訪問:Cookie 是不允許跨域訪問的,這一點(diǎn)對 Token 機(jī)制是不存在的,前提是傳輸?shù)挠脩粽J(rèn)證信息通過 HTTP 頭傳輸
  • 無狀態(tài): Token 機(jī)制在服務(wù)端不需要存儲 session 信息,因?yàn)?Token 自身包含了所有登錄用戶的信息,只需要在客戶端的 cookie 或本地介質(zhì)存儲狀態(tài)信息
  • 適用性更廣: 只要是支持 http 協(xié)議的客戶端,就可以使用 token 認(rèn)證。
  • 無需考慮CSRF: 由于不再依賴 cookie,所以采用 token 認(rèn)證方式不會發(fā)生 CSRF,所以也就無需考慮 CSRF 的防御

JWT 結(jié)構(gòu)

  • 一個(gè) JWT 實(shí)際上就是一個(gè)字符串,它由三部分組成:頭部、載荷與簽名。中間用點(diǎn) . 分隔成三個(gè)部分。注意 JWT 內(nèi)部是沒有換行的。

JWT 結(jié)構(gòu)

?? 頭部 / header

header 由兩部分組成: token 的類型 JWT 和算法名稱:HMAC、SHA256、RSA

{
  "alg": "HS256",
  "typ": "JWT"
}

?? 載荷 / Payload

Payload 部分也是一個(gè) JSON 對象,用來存放實(shí)際需要傳遞的數(shù)據(jù)。JWT 指定七個(gè)默認(rèn)字段供選擇。

除了默認(rèn)字段之外,你完全可以添加自己想要的任何字段,一般用戶登錄成功后,就將用戶信息存放在這里

iss:發(fā)行人
exp:到期時(shí)間
sub:主題
aud:用戶
nbf:在此之前不可用
iat:發(fā)布時(shí)間
jti:JWT ID用于標(biāo)識該JWT

{
  "iss": "xxxxxxx",
  "sub": "xxxxxxx",
  "aud": "xxxxxxx",
  "user": [
  	  'username': '極客飛兔',
  	  'gender': 1,
  	  'nickname': '飛兔小哥' 
   ] 
}
  • ?? 簽名 / Signature
  • 簽名部分是對上面的 頭部、載荷 兩部分?jǐn)?shù)據(jù)進(jìn)行的數(shù)據(jù)簽名
  • 為了保證數(shù)據(jù)不被篡改,則需要指定一個(gè)密鑰,而這個(gè)密鑰一般只有你知道,并且存放在服務(wù)端
  • 生成簽名的代碼一般如下:
// 其中secret 是密鑰
String signature = HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)

JWT 基本使用

  • 客戶端收到服務(wù)器返回的 JWT,可以儲存在 Cookie 里面, 也可以儲存在 localStorage
  • 然后 客戶端每次與服務(wù)器通信,都要帶上這個(gè) JWT
  • 把 JWT 保存在 Cookie 里面發(fā)送請求,這樣不能跨域
  • 更好的做法是放在 HTTP 請求的頭信息 Authorization 字段里面
fetch('license/login', {
	headers: {
		'Authorization': 'X-TOKEN' + token
	}
})

實(shí)戰(zhàn):使用 JWT 登錄認(rèn)證

這里使用 ThinkPHP6 整合 JWT 登錄認(rèn)證進(jìn)行實(shí)戰(zhàn)模擬

?? 安裝 JWT 擴(kuò)展

composer require firebase/php-jwt

?? 封裝生成 JWT 和解密方法

<?php
/**
 * Desc: JWT認(rèn)證
 * Author: autofelix
 * Time: 2022/07/04
 */

namespace app\services;

use app\Helper;
use Firebase\JWT\JWT;
use Firebase\JWT\Key;

class JwtService
{
    protected $salt;

    public function __construct()
    {
        //從配置信息這種或取唯一字符串,你可以隨便寫比如md5('token')
        $this->salt = config('jwt.salt') || "autofelix";
    }

    // jwt生成
    public function generateToken($user)
    {
        $data = array(
            "iss" => 'autofelix',        //簽發(fā)者 可以為空
            "aud" => 'autofelix',             //面象的用戶,可以為空
            "iat" => Helper::getTimestamp(),   //簽發(fā)時(shí)間
            "nbf" => Helper::getTimestamp(),   //立馬生效
            "exp" => Helper::getTimestamp() + 7200, //token 過期時(shí)間 兩小時(shí)
            "user" => [ // 記錄用戶信息
                'id' => $user->id,
                'username' => $user->username,
                'truename' => $user->truename,
                'phone' => $user->phone,
                'email' => $user->email,
                'role_id' => $user->role_id
            ]
        );
        $jwt = JWT::encode($data, md5($this->salt), 'HS256');
        return $jwt;
    }

    // jwt解密
    public function chekToken($token)
    {
        JWT::$leeway = 60; //當(dāng)前時(shí)間減去60,把時(shí)間留點(diǎn)余地
        $decoded = JWT::decode($token, new Key(md5($this->salt), 'HS256'));
        return $decoded;
    }
}

?? 用戶登錄后,生成 JWT 標(biāo)識

<?php
declare (strict_types=1);

namespace app\controller;

use think\Request;
use app\ResponseCode;
use app\Helper;
use app\model\User as UserModel;
use app\services\JwtService;

class License
{
    public function login(Request $request)
    {
        $data = $request->only(['username', 'password', 'code']);

        // ....進(jìn)行驗(yàn)證的相關(guān)邏輯...
        $user = UserModel::where('username', $data['username'])->find();
		
		// 驗(yàn)證通過生成 JWT, 返回給前端保存
        $token = (new JwtService())->generateToken($user);

        return json([
            'code' => ResponseCode::SUCCESS,
            'message' => '登錄成功',
            'data' => [
                'token' => $token
            ]
        ]);
    }
}

?? 中間件驗(yàn)證用戶是否登錄

middleware.php 注冊中間件

<?php
// 全局中間件定義文件
return [
	// ...其他中間件
    // JWT驗(yàn)證
    \app\middleware\Auth::class
];

注冊中間件后,在權(quán)限驗(yàn)證中間件中完善驗(yàn)證邏輯

<?php
declare (strict_types=1);

namespace app\middleware;

use app\ResponseCode;
use app\services\JwtService;

class Auth
{
    private $router_white_list = ['login'];

    public function handle($request, \Closure $next)
    {
        if (!in_array($request->pathinfo(), $this->router_white_list)) {
            $token = $request->header('token');

            try {
            	// jwt 驗(yàn)證
                $jwt = (new JwtService())->chekToken($token);
            } catch (\Throwable $e) {
                return json([
                    'code' => ResponseCode::ERROR,
                    'msg' => 'Token驗(yàn)證失敗'
                ]);
            }

            $request->user = $jwt->user;
        }

        return $next($request);
    }
}

附:為什么使用jwt而不使用session

  • session是將客戶端數(shù)據(jù)儲存在服務(wù)器的內(nèi)存,當(dāng)客服端的數(shù)據(jù)過多,服務(wù)器的內(nèi)存開銷大;
  • session的數(shù)據(jù)儲存在某臺服務(wù)器,在分布式的項(xiàng)目中無法做到共享;
  • jwt的安全性更好。

總而言之,如果使用了分布式,切只能在session和jwt里面選的時(shí)候,就一定要選jwt。

總結(jié)

到此這篇關(guān)于JWT登錄認(rèn)證實(shí)戰(zhàn)模擬的文章就介紹到這了,更多相關(guān)JWT登錄認(rèn)證內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家!

相關(guān)文章

最新評論