PHP大佬看过来！手把手教你搞定JWT令牌全流程

还在为PHP应用的安全问题发愁？本文为你揭秘JWT令牌的完整处理流程，助力打造安全可靠的API！首先，通过Composer引入firebase/php-jwt库，然后详细讲解如何构建包含用户信息的payload并使用密钥进行签名，生成JWT。接着，介绍如何将JWT通过Authorization头部传递给客户端，并在API端点验证JWT的有效性，处理过期、签名无效等异常情况。同时，深入探讨如何根据应用场景选择合适的过期时间，以及如何使用refresh token实现无感刷新，提升用户体验。最后，强调了防止JWT被篡改的关键措施，包括使用强密钥、定期更换、保护存储以及使用HTTPS传输，全方位保障你的PHP应用安全！

PHP处理JWT令牌的核心在于验证和生成，确保API安全可靠。1. 引入JWT库：通过Composer安装firebase/php-jwt；2. 生成JWT：构建包含用户信息的payload并使用密钥签名；3. 传递JWT：将生成的令牌返回客户端并通过Authorization头部发送；4. 验证JWT：从请求头中获取并使用密钥验证令牌，捕获异常处理错误；5. 设置合适的过期时间：根据应用场景选择短、中或长过期时间；6. 处理JWT刷新：颁发refresh token并与数据库关联，实现无感刷新；7. 防止JWT被篡改：使用强密钥、定期更换、保护存储及使用HTTPS传输。

PHP处理JWT令牌的核心在于验证和生成，确保你的API安全可靠。简单来说，就是用一个密钥对用户身份信息进行签名，然后客户端带着这个签名来访问你的API，你再用同样的密钥验证这个签名，确认身份。

解决方案

PHP处理JWT令牌主要分为以下几个步骤：

1. 引入JWT库： 首先，你需要一个JWT库来简化操作。比较流行的选择是firebase/php-jwt。你可以通过Composer安装：

   

   composer require firebase/php-jwt

2. 生成JWT： 当用户登录成功后，你需要生成一个JWT。这通常涉及到以下步骤：

   • 构建payload： Payload包含你想在令牌中存储的用户信息，例如用户ID、用户名、权限等。Payload必须是JSON格式。

     $payload = array(
         "iss" => "your-domain.com",  // 签发者
         "aud" => "your-domain.com",  // 接收者
         "iat" => time(),            // 签发时间
         "nbf" => time(),            // 生效时间
         "exp" => time() + 3600,      // 过期时间（1小时）
         "user_id" => $user_id,       // 用户ID
         "username" => $username      // 用户名
     );

   • 设置密钥： 密钥用于签名JWT。务必使用一个强壮的、只有服务器知道的密钥。

     $key = "YourSecretKey"; // 请替换成你的强密钥

   • 生成JWT： 使用JWT库生成令牌。

     use Firebase\JWT\JWT;
     
     $jwt = JWT::encode($payload, $key, 'HS256');

3. 传递JWT： 将生成的JWT返回给客户端。客户端通常会将JWT存储在localStorage、sessionStorage或cookie中，并在后续的请求中通过Authorization头部（Bearer Token）发送给服务器。

4. 验证JWT： 在API端点，你需要验证JWT。

   • 从请求头中获取JWT：

     $authHeader = $_SERVER['HTTP_AUTHORIZATION'];
     $jwt = str_replace('Bearer ', '', $authHeader); // 移除 "Bearer " 前缀

   • 验证JWT： 使用JWT库验证令牌。

     use Firebase\JWT\JWT;
     use Firebase\JWT\Key;
     use Firebase\JWT\ExpiredException;
     use Firebase\JWT\SignatureInvalidException;
     use Firebase\JWT\BeforeValidException;
     
     try {
         $decoded = JWT::decode($jwt, new Key($key, 'HS256'));
         // JWT验证成功，可以访问 $decoded 获取payload中的信息
         $user_id = $decoded->user_id;
         $username = $decoded->username;
     
     } catch (ExpiredException $e) {
         // 令牌已过期
         http_response_code(401);
         echo json_encode(array("message" => "Token expired."));
     } catch (SignatureInvalidException $e) {
         // 签名无效
         http_response_code(401);
         echo json_encode(array("message" => "Invalid signature."));
     } catch (BeforeValidException $e) {
         // 令牌尚未生效
         http_response_code(401);
         echo json_encode(array("message" => "Token not yet valid."));
     } catch (\Exception $e) {
         // 其他错误
         http_response_code(401);
         echo json_encode(array("message" => "Invalid token."));
     }

如何选择合适的JWT过期时间？

过期时间的选择取决于你的应用场景。

• 短过期时间 (例如 15 分钟 - 1 小时): 适合安全性要求高的应用，例如银行应用。即使令牌泄露，风险也很小。但用户需要频繁刷新令牌。
• 中等过期时间 (例如 1 天 - 1 周): 适合大部分应用，在安全性和用户体验之间取得平衡。
• 长过期时间 (例如 1 个月 - 1 年): 不推荐。如果令牌泄露，风险很大。只适合对安全性要求极低的应用，例如只需要识别用户身份的应用。

记住，永远不要将敏感信息直接存储在JWT的payload中。Payload可以被客户端解码，所以只能存储非敏感信息，例如用户ID。

如何处理JWT刷新？

JWT刷新是指在JWT过期之前，获取一个新的JWT。这可以避免用户频繁登录。常见的做法是使用refresh token。

1. 颁发refresh token： 在用户登录成功后，除了颁发JWT之外，还颁发一个refresh token。Refresh token的过期时间通常比JWT长。
2. 存储refresh token： 将refresh token存储在数据库中，与用户ID关联。
3. 刷新JWT： 当JWT过期后，客户端使用refresh token向服务器请求新的JWT。服务器验证refresh token的有效性，如果有效，则颁发新的JWT和refresh token。

需要注意的是，refresh token也需要保护。建议使用HTTPS协议，并对refresh token进行加密存储。

如何防止JWT被篡改？

JWT的安全性依赖于密钥的安全性。如果密钥泄露，攻击者可以伪造JWT。

• 使用强密钥： 使用足够长的随机字符串作为密钥。
• 定期更换密钥： 定期更换密钥可以降低密钥泄露的风险。
• 保护密钥： 不要将密钥存储在代码中。可以使用环境变量或配置文件来存储密钥。
• 使用HTTPS： 使用HTTPS协议可以防止中间人攻击，保护JWT在传输过程中不被窃取。

另外，还可以考虑使用双重验证（2FA）来提高安全性。即使JWT泄露，攻击者也无法访问用户的账户。

文中关于php,验证,jwt,密钥,refreshtoken的知识介绍，希望对你的学习有所帮助！若是受益匪浅，那就动动鼠标收藏这篇《PHP大佬看过来！手把手教你搞定JWT令牌全流程》文章吧，也可关注golang学习网公众号了解相关技术文章。