yii框架中jwt认证的核心原理是利用其认证过滤器(如httpbearerauth)和用户身份接口(identityinterface),配合第三方jwt库实现无状态认证。1. 首先通过composer安装firebase/php-jwt等库;2. 创建实现identityinterface的user模型,并在findidentitybyaccesstoken方法中解析和验证jwt,提取用户id;3. 在配置文件中设置user组件的identityclass并禁用session;4. 在控制器中使用httpbearerauth过滤器自动提取authorization头中的bearer token;5. 登录成功后生成包含用户信息和过期时间的jwt返回给客户端;6. 后续请求由httpbearerauth拦截,调用findidentitybyaccesstoken验证token并识别用户身份。整个过程依赖jwt的签名验证和无状态特性,服务器不保存会话,所有用户状态由客户端携带,适用于可扩展的api服务。
YII框架对JWT(JSON Web Token)本身并没有内置的“原生”支持,它更多是提供了一个灵活的认证架构,允许开发者通过集成第三方库和自定义组件来实现JWT认证。简单来说,YII框架使用JWT认证的核心在于利用其认证过滤器(如
HttpBearerAuth
IdentityInterface
要在YII框架中实现JWT认证,通常需要以下几个步骤,这更像是一种实践路线图,而非固定的“标准”流程:
首先,得有个靠谱的JWT库。我个人比较偏爱
firebase/php-jwt
composer require firebase/php-jwt
接着,我们需要一个地方来处理用户身份的识别。Yii的
IdentityInterface
app\models\User
findIdentityByAccessToken()
$token
// app/models/User.php (示例片段)
use Firebase\JWT\JWT;
use Firebase\JWT\Key;
use yii\web\IdentityInterface;
class User extends ActiveRecord implements IdentityInterface
{
// ...其他IdentityInterface方法实现...
/**
* Finds an identity by the given token.
* @param string $token the token to be looked for
* @param mixed $type the type of the token (e.g. "access token", "refresh token")
* @return IdentityInterface|null the identity object that matches the given token.
*/
public static function findIdentityByAccessToken($token, $type = null)
{
$secretKey = 'your-super-secret-key'; // 务必替换成强随机密钥,并妥善保管
try {
// 解析并验证JWT
$decoded = JWT::decode($token, new Key($secretKey, 'HS256'));
// 检查JWT中的用户ID是否有效,并返回对应的用户实例
if (isset($decoded->uid)) {
return static::findOne(['id' => $decoded->uid]);
}
} catch (\Exception $e) {
// JWT无效或过期,这里可以记录日志
Yii::error("JWT validation failed: " . $e->getMessage());
return null;
}
return null;
}
}然后,在你的
config/web.php
user
// config/web.php (示例片段)
return [
'components' => [
'user' => [
'identityClass' => 'app\models\User',
'enableAutoLogin' => false, // API通常不需要自动登录
'enableSession' => false, // API通常不需要session
],
// ... 其他组件 ...
],
'as beforeRequest' => [ // 全局应用行为,处理所有请求的认证
'class' => 'yii\filters\Cors', // 跨域处理,如果需要
// ...
],
// ...
];在需要保护的控制器或模块中,引入
HttpBearerAuth
Authorization: Bearer <token>
User::findIdentityByAccessToken()
// app/controllers/ApiController.php (示例片段)
use yii\rest\ActiveController;
use yii\filters\auth\HttpBearerAuth;
class ApiController extends ActiveController
{
public $modelClass = 'app\models\SomeModel'; // 你的API资源模型
public function behaviors()
{
$behaviors = parent::behaviors();
$behaviors['authenticator'] = [
'class' => HttpBearerAuth::class,
'except' => ['login', 'signup'], // 登录和注册接口通常不需要认证
];
return $behaviors;
}
// ... 你的API动作 ...
public function actionLogin()
{
// 验证用户凭据(用户名/密码)
// 如果验证成功,生成JWT并返回给客户端
$user = User::findByUsername(Yii::$app->request->post('username'));
if ($user && $user->validatePassword(Yii::$app->request->post('password'))) {
$secretKey = 'your-super-secret-key';
$issuedAt = time();
$expirationTime = $issuedAt + 3600; // 1小时过期
$payload = [
'iat' => $issuedAt,
'exp' => $expirationTime,
'uid' => $user->id,
// 'aud' => 'your-app-audience', // 接收方
// 'iss' => 'your-issuer', // 签发者
];
$jwt = JWT::encode($payload, $secretKey, 'HS256');
return ['access_token' => $jwt, 'expires_in' => $expirationTime];
}
throw new \yii\web\UnauthorizedHttpException('Invalid credentials.');
}
}最后,客户端拿到JWT后,每次请求受保护的API时,都得在HTTP请求头里带上
Authorization: Bearer <你的JWT>
谈到Yii里JWT的认证原理,其实它和JWT本身的机制是高度一致的,Yii只是提供了一个“舞台”和一些“工具”让你去表演。核心在于JWT的无状态性(Statelessness)和签名验证。当用户首次登录成功后,服务器会根据用户ID(或其他必要信息)生成一个JWT,这个token里面包含了这些信息,并且用一个只有服务器知道的“密钥”对其进行了签名。这个签名确保了token在传输过程中没有被篡改。
客户端拿到这个JWT后,后续每次请求需要认证的资源时,都会把这个JWT放在HTTP请求的
Authorization
Bearer
HttpBearerAuth
user
findIdentityByAccessToken()
user
整个过程的关键点在于,服务器不需要存储任何会话信息,所有的用户状态都“打包”在JWT里,由客户端保管。这对于构建可伸缩的、分布式API服务尤其有利。当然,这也意味着一旦JWT被签发,除非它过期,否则服务器无法主动使其失效(除非你额外实现一套黑名单机制)。
集成JWT到Yii应用,说实话,不是那种“一键搞定”的事儿,它有自己的一些脾气和挑战。但只要理解了,很多问题都能迎刃而解。
一个比较常见的挑战是密钥管理。那个
your-super-secret-key
Token的过期和刷新也是个让人头疼的问题。如果access token过期时间太长,安全性会降低;太短,用户体验又差,得频繁登录。这就引出了“access token + refresh token”的模式。Access token设置较短的过期时间(比如15分钟到1小时),用于日常API请求。Refresh token过期时间长一些(比如几天到几个月),专门用来在access token过期后,从服务器换取新的access token。Refresh token本身也需要安全存储和管理,甚至可以考虑只允许使用一次或者定期轮换。
另外,Token的撤销(Revocation)也是个痛点。JWT是无状态的,一旦签发就无法从服务器端主动“收回”,除非等它过期。这意味着用户登出、密码修改或者账户被禁用时,旧的access token仍然有效直到过期。解决这个问题,通常会引入一个黑名单机制,把需要失效的token的ID(
jti
在安全性方面,强制使用HTTPS是绝对的。JWT是明文传输的,如果没有HTTPS加密,中间人攻击者可以轻易截获并读取token,甚至重放攻击。再者,JWT的Payload里不应该存放敏感信息,比如用户的密码、银行卡号等,因为Payload是Base64编码的,任何人都能解码查看。
错误处理也得细致。当JWT无效、过期或格式不正确时,服务器应该返回清晰的错误信息,比如HTTP 401 Unauthorized,并给出具体原因,而不是笼统的“认证失败”。这有助于客户端调试和用户体验。
在Yii框架里处理JWT的刷新和过期策略,主要是围绕“短生命周期的Access Token”和“长生命周期的Refresh Token”这个模式展开的。这是一种兼顾安全性和用户体验的常用方案。
首先,Access Token的过期策略。就像前面提到的,我们会在登录时生成一个Access Token,并设置一个相对较短的
exp
findIdentityByAccessToken
exp
接着是Refresh Token的机制。当用户登录成功时,除了Access Token,我们还会生成一个Refresh Token。这个Refresh Token通常是一个随机字符串,而不是JWT本身,或者是一个带有很长过期时间的特殊JWT。这个Refresh Token会被存储在数据库中,并与用户ID关联起来。客户端收到Refresh Token后,也需要安全地存储它(比如HTTP Only的Cookie或者本地存储)。
当Access Token过期后,客户端不会直接提示用户重新登录,而是会带着Refresh Token向一个专门的“刷新”接口发起请求。这个接口的逻辑大致是这样的:
// app/controllers/AuthController.php (示例片段)
// ...
class AuthController extends Controller
{
// ...
public function actionRefresh()
{
$refreshToken = Yii::$app->request->post('refresh_token');
// 1. 验证refresh_token的有效性
// 假设你有一个RefreshTokens模型来管理它们
$dbRefreshToken = RefreshToken::findOne(['token' => $refreshToken, 'user_id' => Yii::$app->user->id]);
if (!$dbRefreshToken || $dbRefreshToken->isExpired()) {
throw new \yii\web\UnauthorizedHttpException('Invalid or expired refresh token.');
}
// 2. 废弃旧的refresh_token(可选,但推荐)
$dbRefreshToken->delete(); // 或标记为已使用
// 3. 生成新的access token
$secretKey = 'your-super-secret-key';
$issuedAt = time();
$expirationTime = $issuedAt + 3600; // 新的access token 1小时过期
$payload = [
'iat' => $issuedAt,
'exp' => $expirationTime,
'uid' => Yii::$app->user->id,
];
$newAccessToken = JWT::encode($payload, $secretKey, 'HS256');
// 4. 生成新的refresh token(如果需要)
$newRefreshToken = Yii::$app->security->generateRandomString(64);
$newRefreshTokenModel = new RefreshToken();
$newRefreshTokenModel->token = $newRefreshToken;
$newRefreshTokenModel->user_id = Yii::$app->user->id;
$newRefreshTokenModel->expires_at = time() + (30 * 24 * 3600); // 30天过期
$newRefreshTokenModel->save();
return [
'access_token' => $newAccessToken,
'expires_in' => $expirationTime,
'refresh_token' => $newRefreshToken,
];
}
}至于Token的黑名单或撤销,当用户主动登出、管理员禁用账户或密码被修改时,为了立即使所有已签发的Access Token失效,可以在
findIdentityByAccessToken
// app/models/User.php (findIdentityByAccessToken 方法内)
// ...
if (isset($decoded->jti)) { // JWT ID
// 检查这个jti是否在黑名单中
if (BlacklistedToken::isBlacklisted($decoded->jti)) {
Yii::warning("Attempt to use blacklisted JWT: " . $decoded->jti);
return null;
}
}
// ...在登出或密码修改时,将当前用户的Access Token的
jti
以上就是YII框架的JWT支持是什么?YII框架如何使用JWT认证?的详细内容,更多请关注php中文网其它相关文章!
每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
1044
收藏
