使用 JWT 进行身份验证和授权的PHP开发指南

积累知识，胜过积蓄金银！毕竟在文章开发的过程中，会遇到各种各样的问题，往往都是一些细节知识点还没有掌握好而导致的，因此基础知识点的积累是很重要的。下面本文《使用 JWT 进行身份验证和授权的PHP开发指南》，就带大家讲解一下知识点，若是你对本文感兴趣，或者是想搞懂其中某个知识点，就请你继续往下看吧~

在现代的 Web 应用程序开发中，安全已经成为了一个不可或缺的部分。在这方面，身份认证和授权是至关重要的，因为它们确保只有授权用户可以访问受保护的资源。有许多身份认证和授权机制可用，其中 JWT（JSON Web Token）是一种特别流行的机制，因为它简单、灵活、可扩展且安全。在这篇文章中，我们将探讨如何使用 PHP 和 JWT 进行身份认证和授权。

第一部分：JWT 基础

JSON Web Token（JWT）是一种通过网络安全地传输声明和身份验证信息的开放标准。它由三个部分组成：头部、载荷和签名。

头部包含算法和 token 类型信息。它的示例可能如下所示：

{
  "alg": "HS256",
  "typ": "JWT"
}

载荷包含需要传输的信息。例如，用户名、角色和其他有关用户信息。载荷的示例可能如下所示：

{
  "sub": "1234567890",
  "name": "John Doe",
  "iat": 1516239022
}

签名是包含密钥的加密字符串，用于验证 JWT 是否有效。签名的示例可能如下所示：

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(claims),
  secret)

第二部分：使用 PHP 实现 JWT

为了使用 JWT 进行身份认证和授权，我们需要一个 PHP 类来生成和验证 JWT。让我们看一下一个简单的 PHP JWT 类的实现。

<?php

class JWT {
  private $header;
  private $payload;
  private $secret;

  public function __construct($header, $payload, $secret) {
    $this->header = $header;
    $this->payload = $payload;
    $this->secret = $secret;
  }

  public function encode() {
    $header = $this->base64UrlEncode(json_encode($this->header));
    $payload = $this->base64UrlEncode(json_encode($this->payload));
    $signature = $this->base64UrlEncode(hash_hmac('sha256', $header . '.' . $payload, $this->secret, true));
    return $header . '.' . $payload . '.' . $signature;
  }

  public function decode($jwt) {
    $parts = explode('.', $jwt);
    $header = json_decode($this->base64UrlDecode($parts[0]), true);
    $payload = json_decode($this->base64UrlDecode($parts[1]), true);
    $signature = $this->base64UrlDecode($parts[2]);
    $result = hash_hmac('sha256', $parts[0] . '.' . $parts[1], $this->secret, true);
    if (hash_equals($result, $signature)) {
      return $payload;
    } else {
      return null;
    }
  }

  private function base64UrlEncode($data) {
    return rtrim(strtr(base64_encode($data), '+/', '-_'), '=');
  }

  private function base64UrlDecode($data) {
    return base64_decode(str_pad(strtr($data, '-_', '+/'), strlen($data) % 4, '=', STR_PAD_RIGHT));
  }
}

在这个 PHP 类中，$header、$payload 和 $secret 存储了 JWT 的头部、载荷和密钥信息。encode() 方法使用 header、payload 和 secret 来生成 JWT 字符串。decode() 方法使用给定的 JWT 字符串和密钥来获取载荷信息。

base64UrlEncode() 和 base64UrlDecode() 方法用于编码和解码 JWT 的头部和载荷。

第三部分：将 JWT 用于身份认证和授权

现在，我们已经了解了 JWT 的基础知识，并且有一个 PHP JWT 类用于生成和验证 JWT。那么，我们如何将 JWT 用于身份认证和授权呢？

首先，当用户登录时，可以使用 JWT 发送一个令牌来验证他们的身份。服务器将生成一个带有用户名和密码有效载荷的 JWT，并将其发送给客户端。客户端将在每个请求中将此令牌作为 Authorization 标头的 Bearer 认证方案进行发送。服务器将从标头中提取 JWT 并根据需要验证其有效性。

以下是一个示例 JWT 实现用于身份认证和授权：

<?php

// 使用 JWT 登录
function login($username, $password) {
  // 检查用户名和密码是否正确
  $is_valid = validate_user_credentials($username, $password);
  if (!$is_valid) {
    return null;
  }

  // 生成 JWT
  $header = array('alg' => 'HS256', 'typ' => 'JWT');
  $payload = array('sub' => $username);
  $jwt = new JWT($header, $payload, $GLOBALS['secret']);
  $token = $jwt->encode();

  // 返回 JWT
  return $token;
}

// 验证 JWT
function validate_token($jwt) {
  $jwt = new JWT($header, $payload, $GLOBALS['secret']);
  $payload = $jwt->decode($jwt);
  if ($payload == null) {
    return false;
  }

  // 验证成功
  return true;
}

// 保护资源
function protect_resource() {
  // 检查 JWT 是否有效
  $jwt = get_authorization_header();
  if (!validate_token($jwt)) {
    http_response_code(401);
    exit();
  }

  // 资源保护
  // ...
}

// 从标头获取 JWT
function get_authorization_header() {
  $headers = getallheaders();
  if (isset($headers['Authorization'])) {
    return $headers['Authorization'];
  }
  return null;
}

// 检查用户名和密码是否正确
function validate_user_credentials($username, $password) {
  // 验证用户名和密码
  // ...
  return true;
}

// 密钥
$GLOBALS['secret'] = "my-secret";

// 登录并获取 JWT
$token = login("username", "password");

// 将 JWT 添加到标头
$headers = array('Authorization: Bearer ' . $token);

// 保护资源
protect_resource($headers);

在这个示例中，login() 方法使用 JWT 类创建一个 JWT，并返回它以便客户端使用。validate_token() 方法可以验证 JWT 的有效性。如果 JWT 无效，将返回 false。

get_authorization_header() 方法从请求标头中提取 JWT。 protect_resource() 方法用于保护 Web 资源。如果 JWT 无效，该函数将引发 401 错误。

最后，在全局范围内定义了一个密钥，$GLOBALS ['secret'] ，它应该是一个长字符串。请注意，此密码是秘密密码，不应包含在您的代码库中。通常，该密钥会存储在环境变量中，并由运行 Web 服务器的操作系统管理。

结论

JWT 是一个非常简单、灵活、可扩展且安全的机制，可用于 Web 应用的身份认证和授权。在本文中，我们已经了解了 JWT 的基本原理，并且看到了一个示例 PHP 类，用于生成和验证 JWT。我们还看到了如何将 JWT 用于身份验证和授权。现在，您可以在自己的 Web 应用程序中尝试 JWT，以确保您的应用在安全性方面更可靠。

到这里，我们也就讲完了《使用 JWT 进行身份验证和授权的PHP开发指南》的内容了。个人认为，基础知识的学习和巩固，是为了更好的将其运用到项目中，欢迎关注golang学习网公众号，带你了解更多关于身份认证,jwt,授权的知识点！