简介
在使用一门技术时,先了解这门技术很有必要。知道这个门技术的优势与劣势,在程序中应用时我们就可以做到扬长避短。先学会了解,其次学会如何使用,最后懂得如何深入。这是我在学习编程中使用的方法。
1.JWT是什么?
JWT官网 https://jwt.io
官网简介:JSON Web令牌(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间作为JSON对象安全地传输信息。由于此信息是经过数字签名的,因此可以被验证和信任。可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对对JWT进行签名。
通常来说,JWT是一个由包含用户信息所生成的加密串,将生成的JWT加密串放入所有的请求head中,前端通过设定的秘钥加密参数,发送数据给后端,后端接收参数,按照设定的秘钥,同样加密接收参数,与前端加密参数做比对,保证请求有效并防止参数不被篡改。验证通过就进行相关的逻辑处理,否则请求算作无效请求。
2.为什么使用JWT?
传统互联网项目在实现保持登录状态、退出登录、接口请求等功能时会使用Session,但是众所周知Session数据在产生后会存储与服务器端,所以当用户量达到一定程度会相应影响到服务器的性能,且Session在前后端分离的项目中或是多服务器项目中的支持不是很好。但是Token不会产生这些问题,服务器端对Token只有生成和验证操作,不会存放数据,针对前后端分离的项目,包括手机APP和当前热门的小程序的支持都很不错,所以Token成为了用于验证的极好选择。
版权声明:本文为CSDN博主「SolKnight」的原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/qq_38280150/article/details/98488254
3.在项目中引入JWT扩展
使用composer命令,直接在项目中引用,执行命令 composer require firebase/php-jwt。执行命令后,项目文件夹 vendor 中,会多出一个 firebase 的文件夹。
4.JWT具体使用步骤
1.在控制器中引入 use FirebaseJWTJWT;
2.在用户登录成功。使用 JWT 生成加密串 Token 。
$key = 'e10adc3949ba59abbe56e057f20f883e';//自定义秘钥,加密解密都需要用到
$time = time(); //当前时间
$token = [
'iat' => $time, //签发时间
'nbf' => $time, //(Not Before):某个时间点后才能访问,比如设置time+30,表示当前时间30秒后才能使用
'data' => [
'userid' => $res['result']['user_id'],
'username' => 'KCC-' . $res['result']['member_name'] . '-15万倍共识',
'level' => $res['result']['distribut_level'],
'avatar' => $res['result']['head_pic']
]
];
$jwtToken = JWT::encode($token, $key);
3.登录成功后,将生成 token 返回给前端。前端记录该用户信息的 token ,将 token 放入 head,之后的请求中都需要 head 都需包含 token。
4.我们可以定义一个 AppID 和 AppSecret,同时告知前端。前端每次请求中携带 AppID ,请求参数中加入一个必要参数 sign ,sign 是由所有请求参数拼接而成加密后的加密串。
注意: sign 参数值,需要加入 AppID 所需要对应 AppSecret,请求参数和后端约定相同排序规则,然后进行加密。
5.后端验证签名是否通过
protected $secret_type = [
'game1' => 'bd98e16b5eaf3e49fa2ecd3f9ee8f6ae',
'game2' => 'b7e23061042f2799180e41d94cdbf861',
];
public function __construct(Request $request)
{
//首先用户信息是否存在
$token = $request->instance()->header('token');
if (empty($token)) {
abort(0, 'token验证失败');
}
$appid = $request->param('appid');
if (empty($appid)) {
abort(0, 'appid验证失败');
}
$request_time = $request->param('request_time');
if (empty($request_time)) {
abort(0,'时间戳验证失败');
}
$random_number = $request->param('random_number');
if (empty($random_number)) {
abort(0,'数字验证失败');
}
//记录每次请求的uuid,如果uuid已存在,则该次请求无效。
$request_uuid = Db::name('game_request')->where('uuid',$random_number)->find();
if (count($request_uuid) > 1) {
abort(0,'请求无效');
} else {
$insert_data = array(
'uuid' => $random_number,
'add_time' => time(),
'url' => $request->baseUrl(),
);
Db::name('game_request')->insert($insert_data);
}
$secret = $this->secret_type[$appid];
if (empty($secret) ){
abort(0,'secret验证失败');
}
$sign = $request->param('sign');
if (empty($sign)) {
abort(0,'sign验证失败');
}
$all_obj = $request->except(['sign']);
$all_obj['secret'] = $secret;
ksort($all_obj);
$sign_key = '';
foreach ($all_obj as $k => $v) {
$sign_key .= $k.='='.$v.'&';
}
$sign_key = substr_replace($sign_key ,"", -1);
// dump(md5($sign_key));die();
$md_sign = md5($sign_key);
if ($sign !== $md_sign) {
abort(0,'签名验证失败');
}
}
注意: 为防止重复请求,建议由前端每次传入 uuid ,根据 uuid 请求是否重复。
6.验证通过后,进行相关的业务逻辑代码处理。
public function getGameUser()
{
$secret = 'e10adc3949ba59abbe56e057f20f883e';
$token = Request::instance()->header('token');
$token_info = JWT::decode($token,$secret,['HS256']);
$user = Db::name('users')->where('user_id',$token_info->data->userid)->find();
$user_coin = Db::name('user_coin')->where('user_id',$user['user_id'])->find();
$result = array(
'status' => 1,
'msg' => '获取成功',
'result' => array(
'Id' => $user['user_id'],
'NickName' => $user['username'],
'HeadImg' => $user['head_pic'],
'KCC' => $user['pay_points'],
'FYC' => $user['fyc_balance'],
'KCE' => $user_coin['coin_kce']
)
);
return json($result);
}
--------------------- 著作权归作者所有。 商业转载请联系作者获得授权,非商业转载请注明出处。 作者:罗辑 源地址:https://qqphp.com/article_details/135 来源:Laravel诗词博客 © 本文为Laravel诗词博客「罗辑」的原创文章,遵循 CC BY-NC-SA 版权协议,转载请附上原文出处链接及本声明。