快捷導(dǎo)航

JWT登錄認(rèn)證實(shí)戰(zhàn)模擬過(guò)程全紀(jì)錄

更新時(shí)間：2022年08月10日 12:11:10 作者：極客飛兔

jwt是由用戶以用戶名、密碼登錄,服務(wù)端驗(yàn)證后,會(huì)生成一個(gè)token,返回給客戶端,客戶端在下次訪問(wèn)的過(guò)程中攜帶這個(gè)token,服務(wù)端責(zé)每次驗(yàn)證這個(gè)token,下面這篇文章主要給大家介紹了關(guān)于JWT登錄認(rèn)證實(shí)戰(zhàn)模擬的相關(guān)資料,需要的朋友可以參考下

Token 認(rèn)證流程

作為目前最流行的跨域認(rèn)證解決方案，JWT（JSON Web Token）深受開發(fā)者的喜愛(ài)，主要流程如下：
客戶端發(fā)送賬號(hào)和密碼請(qǐng)求登錄
服務(wù)端收到請(qǐng)求，驗(yàn)證賬號(hào)密碼是否通過(guò)
驗(yàn)證成功后，服務(wù)端會(huì)生成唯一的 token，并將其返回給客戶端
客戶端接受到 token，將其存儲(chǔ)在 cookie 或者 localStroge 中
之后每一次客戶端向服務(wù)端發(fā)送請(qǐng)求，都會(huì)通過(guò) cookie 或者h(yuǎn)eader 攜帶該 token
服務(wù)端驗(yàn)證 token 的有效性，通過(guò)才返回響應(yīng)的數(shù)據(jù)

基于 Token 認(rèn)證流程

Token 認(rèn)證優(yōu)點(diǎn)

支持跨域訪問(wèn)：Cookie 是不允許跨域訪問(wèn)的，這一點(diǎn)對(duì) Token 機(jī)制是不存在的，前提是傳輸?shù)挠脩粽J(rèn)證信息通過(guò) HTTP 頭傳輸
無(wú)狀態(tài)： Token 機(jī)制在服務(wù)端不需要存儲(chǔ) session 信息，因?yàn)?Token 自身包含了所有登錄用戶的信息，只需要在客戶端的 cookie 或本地介質(zhì)存儲(chǔ)狀態(tài)信息
適用性更廣：只要是支持 http 協(xié)議的客戶端，就可以使用 token 認(rèn)證。
無(wú)需考慮CSRF：由于不再依賴 cookie，所以采用 token 認(rèn)證方式不會(huì)發(fā)生 CSRF，所以也就無(wú)需考慮 CSRF 的防御

JWT 結(jié)構(gòu)

一個(gè) JWT 實(shí)際上就是一個(gè)字符串，它由三部分組成：頭部、載荷與簽名。中間用點(diǎn) . 分隔成三個(gè)部分。注意 JWT 內(nèi)部是沒(méi)有換行的。

JWT 結(jié)構(gòu)

?? 頭部 / header

header 由兩部分組成： token 的類型 JWT 和算法名稱：HMAC、SHA256、RSA

{
  "alg": "HS256",
  "typ": "JWT"
}

?? 載荷 / Payload

Payload 部分也是一個(gè) JSON 對(duì)象，用來(lái)存放實(shí)際需要傳遞的數(shù)據(jù)。JWT 指定七個(gè)默認(rèn)字段供選擇。

除了默認(rèn)字段之外，你完全可以添加自己想要的任何字段，一般用戶登錄成功后，就將用戶信息存放在這里

iss：發(fā)行人
exp：到期時(shí)間
sub：主題
aud：用戶
nbf：在此之前不可用
iat：發(fā)布時(shí)間
jti：JWT ID用于標(biāo)識(shí)該JWT

{
  "iss": "xxxxxxx",
  "sub": "xxxxxxx",
  "aud": "xxxxxxx",
  "user": [
  	  'username': '極客飛兔',
  	  'gender': 1,
  	  'nickname': '飛兔小哥' 
   ] 
}

?? 簽名 / Signature
簽名部分是對(duì)上面的頭部、載荷兩部分?jǐn)?shù)據(jù)進(jìn)行的數(shù)據(jù)簽名
為了保證數(shù)據(jù)不被篡改，則需要指定一個(gè)密鑰，而這個(gè)密鑰一般只有你知道，并且存放在服務(wù)端
生成簽名的代碼一般如下：

// 其中secret 是密鑰
String signature = HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)

JWT 基本使用

客戶端收到服務(wù)器返回的 JWT，可以儲(chǔ)存在 Cookie 里面，也可以儲(chǔ)存在 localStorage
然后客戶端每次與服務(wù)器通信，都要帶上這個(gè) JWT
把 JWT 保存在 Cookie 里面發(fā)送請(qǐng)求，這樣不能跨域
更好的做法是放在 HTTP 請(qǐng)求的頭信息 Authorization 字段里面

fetch('license/login', {
	headers: {
		'Authorization': 'X-TOKEN' + token
	}
})

實(shí)戰(zhàn)：使用 JWT 登錄認(rèn)證

這里使用 ThinkPHP6 整合 JWT 登錄認(rèn)證進(jìn)行實(shí)戰(zhàn)模擬

?? 安裝 JWT 擴(kuò)展

composer require firebase/php-jwt

?? 封裝生成 JWT 和解密方法

<?php
/**
 * Desc: JWT認(rèn)證
 * Author: autofelix
 * Time: 2022/07/04
 */

namespace app\services;

use app\Helper;
use Firebase\JWT\JWT;
use Firebase\JWT\Key;

class JwtService
{
    protected $salt;

    public function __construct()
    {
        //從配置信息這種或取唯一字符串，你可以隨便寫比如md5('token')
        $this->salt = config('jwt.salt') || "autofelix";
    }

    // jwt生成
    public function generateToken($user)
    {
        $data = array(
            "iss" => 'autofelix',        //簽發(fā)者 可以為空
            "aud" => 'autofelix',             //面象的用戶，可以為空
            "iat" => Helper::getTimestamp(),   //簽發(fā)時(shí)間
            "nbf" => Helper::getTimestamp(),   //立馬生效
            "exp" => Helper::getTimestamp() + 7200, //token 過(guò)期時(shí)間 兩小時(shí)
            "user" => [ // 記錄用戶信息
                'id' => $user->id,
                'username' => $user->username,
                'truename' => $user->truename,
                'phone' => $user->phone,
                'email' => $user->email,
                'role_id' => $user->role_id
            ]
        );
        $jwt = JWT::encode($data, md5($this->salt), 'HS256');
        return $jwt;
    }

    // jwt解密
    public function chekToken($token)
    {
        JWT::$leeway = 60; //當(dāng)前時(shí)間減去60，把時(shí)間留點(diǎn)余地
        $decoded = JWT::decode($token, new Key(md5($this->salt), 'HS256'));
        return $decoded;
    }
}

?? 用戶登錄后，生成 JWT 標(biāo)識(shí)

<?php
declare (strict_types=1);

namespace app\controller;

use think\Request;
use app\ResponseCode;
use app\Helper;
use app\model\User as UserModel;
use app\services\JwtService;

class License
{
    public function login(Request $request)
    {
        $data = $request->only(['username', 'password', 'code']);

        // ....進(jìn)行驗(yàn)證的相關(guān)邏輯...
        $user = UserModel::where('username', $data['username'])->find();
		
		// 驗(yàn)證通過(guò)生成 JWT, 返回給前端保存
        $token = (new JwtService())->generateToken($user);

        return json([
            'code' => ResponseCode::SUCCESS,
            'message' => '登錄成功',
            'data' => [
                'token' => $token
            ]
        ]);
    }
}

?? 中間件驗(yàn)證用戶是否登錄

在 middleware.php 注冊(cè)中間件

<?php
// 全局中間件定義文件
return [
	// ...其他中間件
    // JWT驗(yàn)證
    \app\middleware\Auth::class
];

注冊(cè)中間件后，在權(quán)限驗(yàn)證中間件中完善驗(yàn)證邏輯

<?php
declare (strict_types=1);

namespace app\middleware;

use app\ResponseCode;
use app\services\JwtService;

class Auth
{
    private $router_white_list = ['login'];

    public function handle($request, \Closure $next)
    {
        if (!in_array($request->pathinfo(), $this->router_white_list)) {
            $token = $request->header('token');

            try {
            	// jwt 驗(yàn)證
                $jwt = (new JwtService())->chekToken($token);
            } catch (\Throwable $e) {
                return json([
                    'code' => ResponseCode::ERROR,
                    'msg' => 'Token驗(yàn)證失敗'
                ]);
            }

            $request->user = $jwt->user;
        }

        return $next($request);
    }
}

附：為什么使用jwt而不使用session

session是將客戶端數(shù)據(jù)儲(chǔ)存在服務(wù)器的內(nèi)存，當(dāng)客服端的數(shù)據(jù)過(guò)多，服務(wù)器的內(nèi)存開銷大；
session的數(shù)據(jù)儲(chǔ)存在某臺(tái)服務(wù)器，在分布式的項(xiàng)目中無(wú)法做到共享；
jwt的安全性更好。

總而言之，如果使用了分布式，切只能在session和jwt里面選的時(shí)候，就一定要選jwt。