PHP怎样处理JWT身份验证 JWT令牌验证的5个步骤解析

jwt验证在php中需先接收并解析令牌，验证签名和声明，最后进行授权。具体步骤为：1.接收jwt并存储于header或cookie；2.解析jwt获取header、payload、signature；3.用密钥重新计算签名并比对；4.验证payload中的声明如exp、iss等；5.通过验证后根据用户信息授权。为防篡改应加强密钥管理、使用https、选择安全算法、定期换密钥并对敏感数据加密。过期处理可采用刷新令牌、重新登录、静默刷新等方式。php常用库如firebase/php-jwt和lcobucci/jwt简化实现过程。jwt还可存入cookies、localstorage等但需注意安全风险。选库时要考虑安全性、功能、性能、易用性和社区支持。

JWT（JSON Web Token）在PHP中的处理，核心在于验证其真实性和有效性，确保只有授权用户才能访问受保护的资源。简单来说，就是解析令牌，验证签名，检查过期时间，然后根据令牌中的信息进行授权。

JWT身份验证的5个步骤：

1. 接收JWT： 客户端在登录后，服务器会生成一个JWT并返回给客户端。客户端需要将此JWT存储起来，通常放在HTTP Header的Authorization字段中（例如：Authorization: Bearer ），或者存储在Cookie中。后续客户端每次请求受保护的资源时，都需要带上这个JWT。

   立即学习“PHP免费学习笔记（深入）”；

2. 解析JWT： 在服务器端，首先要从请求头或Cookie中获取JWT。获取到JWT后，需要对其进行解析。JWT本质上是一个字符串，由三部分组成，分别是Header（头部）、Payload（负载）和Signature（签名），这三部分用.连接。PHP可以使用explode()函数分割JWT字符串，分别获取这三部分。

   

3. 验证签名： 这是JWT验证的核心步骤。Header中包含了签名算法，Payload包含了声明（claims），而Signature则是通过Header指定的算法，使用密钥对Header和Payload进行加密生成的。验证签名，需要使用相同的密钥和算法，重新计算签名，然后与JWT中的Signature进行比较。如果两者一致，则说明JWT没有被篡改。

4. 验证声明（Claims）： Payload中包含了一系列的声明（Claims），这些声明可以包含用户的信息，也可以包含一些标准的声明，例如exp（过期时间）、iat（签发时间）、nbf（生效时间）、iss（签发者）和aud（受众）。服务器需要验证这些声明是否有效。例如，需要验证exp声明，判断JWT是否已经过期。如果JWT已经过期，则验证失败。

5. 授权： 如果JWT验证通过，则可以从Payload中获取用户的信息，然后进行授权。例如，可以根据用户ID从数据库中查询用户的角色，然后判断用户是否具有访问该资源的权限。

如何防止JWT被篡改？

JWT的核心安全机制在于签名验证。但仅仅依赖签名是不够的。

• 密钥管理： 密钥的安全性至关重要。绝对不能将密钥硬编码在代码中，或者存储在版本控制系统中。最佳实践是将密钥存储在安全的环境变量中，或者使用专门的密钥管理服务。
• 使用HTTPS： 传输JWT时，务必使用HTTPS协议，防止中间人攻击，窃取JWT。
• 算法选择： 应该选择安全的签名算法，例如HS256、RS256等。不建议使用弱算法，例如none算法，因为这种算法不需要签名，任何人都可以伪造JWT。
• 定期更换密钥： 为了防止密钥泄露后被长期利用，应该定期更换密钥。更换密钥后，需要通知所有使用该密钥的服务，并确保旧的JWT仍然可以验证，直到过期。
• Payload加密： 虽然JWT本身不提供加密功能，但可以在Payload中对敏感信息进行加密，然后再生成JWT。这样即使JWT被窃取，也无法直接获取敏感信息。

JWT过期后如何处理？

JWT过期是身份验证过程中常见的情况，处理方式直接影响用户体验。

• 刷新令牌（Refresh Token）： 这是最常见的解决方案。当JWT过期时，客户端可以使用Refresh Token向服务器申请新的JWT。Refresh Token的有效期通常比JWT长，但也要进行安全保护，例如限制Refresh Token的使用次数，或者定期更换Refresh Token。
• 重新登录： 如果没有Refresh Token，或者Refresh Token也过期了，那么客户端需要重新登录。这通常会导致用户体验下降，因为用户需要重新输入用户名和密码。
• 静默刷新： 可以在JWT过期前，提前发送请求，静默刷新JWT。这样可以避免用户感知到JWT过期，提高用户体验。
• 前端提示： 在前端，可以通过监听JWT的过期时间，提前提示用户JWT即将过期，并引导用户进行刷新操作。

如何在PHP中实现JWT验证？

PHP有很多JWT库可以使用，例如firebase/php-jwt、lcobucci/jwt等。这些库封装了JWT的生成、解析和验证过程，可以大大简化开发工作。

以firebase/php-jwt为例，以下是一个简单的JWT验证示例：

<?php

require_once 'vendor/autoload.php';

use Firebase\JWT\JWT;
use Firebase\JWT\Key;

$jwt = $_SERVER['HTTP_AUTHORIZATION']; // 从请求头获取JWT
$key = 'your-secret-key'; // 你的密钥

try {
    $decoded = JWT::decode($jwt, new Key($key, 'HS256'));

    // JWT验证通过
    print_r($decoded);

} catch (\Exception $e) {
    // JWT验证失败
    echo 'JWT验证失败：' . $e->getMessage();
}

这个例子展示了如何使用firebase/php-jwt库验证JWT。首先，从请求头中获取JWT。然后，使用密钥和算法，调用JWT::decode()函数验证JWT。如果JWT验证通过，则可以获取JWT中的Payload。如果JWT验证失败，则会抛出一个异常。

实际项目中，需要根据业务需求，对JWT进行更复杂的验证和处理。例如，可以验证iss、aud等声明，或者根据JWT中的用户信息进行授权。

除了Authorization Header，JWT还能放在哪里？

虽然Authorization Header是最常见的选择，但JWT的存储位置并非一成不变。

• Cookies: 将JWT存储在HTTP Cookies中也是一种常见做法。 这在单页应用（SPA）中尤其有用，因为浏览器会自动将Cookies发送到服务器。 但是，使用Cookies需要注意CSRF（跨站请求伪造）攻击，可以采用SameSite属性来增加安全性。
• LocalStorage/SessionStorage: 在浏览器端，还可以将JWT存储在LocalStorage或SessionStorage中。 但这种方式存在XSS（跨站脚本攻击）的风险，恶意脚本可以访问LocalStorage或SessionStorage中的JWT。 因此，需要对输入和输出进行严格的过滤，防止XSS攻击。
• 查询参数（不推荐）： 将JWT放在URL的查询参数中是非常不安全的，因为URL会被记录在服务器日志中，或者被分享给他人。 强烈不建议使用这种方式。

选择哪种存储方式，需要根据具体的应用场景和安全需求进行权衡。 Authorization Header通常被认为是相对安全的选择，但结合Refresh Token机制，Cookie配合SameSite属性也是可行的方案。

如何选择合适的JWT库？

选择合适的JWT库，关系到项目的开发效率和安全性。

• 安全性： 首先要考虑的是JWT库的安全性。 选择那些经过安全审计，并且有良好社区支持的库。 避免使用那些已经停止维护，或者存在已知安全漏洞的库。
• 功能： 不同的JWT库提供的功能有所不同。 有些库只提供基本的JWT生成、解析和验证功能，而有些库则提供更高级的功能，例如密钥管理、声明验证、刷新令牌等。 选择那些能够满足项目需求的库。
• 性能： JWT的生成和验证过程会消耗一定的性能。 选择那些性能优良的库，可以提高应用的响应速度。 可以对不同的JWT库进行性能测试，选择性能最佳的库。
• 易用性： 选择那些易于使用，并且有完善文档的库，可以降低开发成本，提高开发效率。
• 社区支持： 选择那些有活跃社区支持的库，可以更容易地获取帮助，解决问题。

在PHP中，firebase/php-jwt和lcobucci/jwt是两个比较流行的JWT库。firebase/php-jwt使用简单，适合小型项目。lcobucci/jwt功能更强大，适合大型项目。

以上就是PHP怎样处理JWT身份验证 JWT令牌验证的5个步骤解析的详细内容，更多请关注php中文网其它相关文章！