使用JWT进行身份验证需生成并验证加密令牌。首先安装firebase/php-jwt库,生成包含用户信息的Payload(不含敏感数据),用强密钥签名并返回客户端,建议通过HttpOnly、Secure Cookie存储。服务端从Authorization头获取JWT,验证签名与过期时间,解析后获取用户信息。为应对过期,可采用刷新令牌机制或滑动窗口策略;为防篡改,应使用HTTPS、保护密钥、禁用none算法;撤销JWT可通过黑名单、缩短有效期或废除刷新令牌实现。需防范算法混淆、密钥猜测、重放攻击等安全风险,选择安全、易用、高性能且持续维护的JWT库。
PHP中使用JWT进行身份验证,简单来说,就是用一段加密的“通行证”来证明用户的身份,服务端验证这个“通行证”的真伪,从而决定是否允许用户访问受保护的资源。
使用JWT进行身份验证,主要涉及生成JWT、验证JWT这两个核心步骤。
JWT生成与存储:如何安全可靠地生成并存储JWT?
首先,你需要一个JWT库。推荐使用
firebase/php-jwt,可以通过composer安装:
composer require firebase/php-jwt。
生成JWT的过程大致如下:
立即学习“PHP免费学习笔记(深入)”;
-
准备Payload: Payload是JWT的核心,包含用户的信息,例如用户ID、用户名等。 注意不要包含敏感信息,比如密码。
$payload = array( "iss" => "your-domain.com", // 签发者 "aud" => "your-domain.com", // 接收者 "iat" => time(), // 签发时间 "nbf" => time(), // 生效时间 "exp" => time() + 3600, // 过期时间 (1小时) "user_id" => $user_id, // 用户ID "username" => $username // 用户名 ); -
设置密钥: 密钥用于签名JWT,必须保密。 生产环境应该使用强密钥,并且妥善保管。
$key = "your_secret_key"; // 替换成你的密钥
-
生成JWT: 使用JWT库生成JWT。
use Firebase\JWT\JWT; $jwt = JWT::encode($payload, $key, 'HS256');
-
存储JWT: 生成JWT后,需要将其返回给客户端。 通常,JWT会存储在客户端的localStorage或cookie中。 但需要注意XSS攻击,建议使用
HttpOnly
的cookie,并且设置Secure
标志,只允许HTTPS传输。 也可以考虑使用SameSite
属性,防止CSRF攻击。setcookie("jwt", $jwt, time() + 3600, "/", "", true, true); // HttpOnly, Secure
JWT验证:如何验证JWT的有效性并提取用户信息?
验证JWT的过程与生成JWT相反。
-
接收JWT: 客户端在请求受保护的资源时,需要将JWT放在请求头中(通常是
Authorization
头,使用Bearer
方案)。Authorization: Bearer
-
提取JWT: 服务端从请求头中提取JWT。
$authHeader = $_SERVER['HTTP_AUTHORIZATION']; $jwt = str_replace('Bearer ', '', $authHeader); -
验证JWT: 使用JWT库验证JWT的签名和过期时间。
use Firebase\JWT\JWT; use Firebase\JWT\Key; try { $decoded = JWT::decode($jwt, new Key($key, 'HS256')); // JWT 验证成功 $user_id = $decoded->user_id; $username = $decoded->username; } catch (\Exception $e) { // JWT 验证失败 http_response_code(401); // Unauthorized echo json_encode(array("message" => "Access denied.", "error" => $e->getMessage())); exit; } 使用用户信息: 如果JWT验证成功,就可以从
$decoded
对象中获取用户信息,并用于后续的业务逻辑。
如何处理JWT过期?
JWT过期是身份验证中常见的问题。 常见的处理方式有两种:
刷新令牌 (Refresh Token): 使用一对令牌:JWT (Access Token) 和刷新令牌 (Refresh Token)。 JWT的过期时间较短,当JWT过期时,客户端使用刷新令牌向服务器请求新的JWT。 刷新令牌的过期时间可以较长,但需要更严格的保护。 刷新令牌通常存储在数据库中,以便服务器可以撤销刷新令牌。
滑动窗口: 每次验证JWT成功后,都重新生成一个新的JWT,并返回给客户端。 这样,JWT的过期时间就会不断延长。 但需要注意,这种方式可能会导致JWT的过期时间无限延长,需要谨慎使用。
如何防止JWT被篡改?
JWT的安全性依赖于密钥的保密性。 如果密钥泄露,攻击者就可以伪造JWT。 因此,需要采取以下措施来保护密钥:
- 使用强密钥: 使用足够长的随机字符串作为密钥。
- 妥善保管密钥: 不要将密钥硬编码在代码中。 可以使用环境变量、配置文件或专门的密钥管理系统来存储密钥。
- 定期更换密钥: 定期更换密钥可以降低密钥泄露的风险。
- 使用HTTPS: 使用HTTPS可以防止中间人攻击,保护JWT在传输过程中不被窃取。
如何撤销JWT?
有时候,需要主动撤销JWT,例如用户注销、用户被禁用等。 由于JWT是无状态的,服务器无法直接撤销JWT。 常见的处理方式有:
黑名单: 将已撤销的JWT添加到黑名单中。 每次验证JWT时,都先检查JWT是否在黑名单中。 这种方式需要维护一个黑名单,会增加服务器的负担。
缩短过期时间: 缩短JWT的过期时间,可以减少已撤销的JWT的有效时间。
刷新令牌: 如果使用刷新令牌,可以在用户注销或被禁用时,撤销刷新令牌,从而阻止用户获取新的JWT。
JWT的常见安全漏洞有哪些?
除了密钥泄露,JWT还存在一些其他的安全漏洞:
算法混淆: 攻击者可以将JWT的
alg
字段修改为none
,从而绕过签名验证。 应该在代码中明确指定使用的签名算法,并禁止使用none
算法。密钥猜测: 如果密钥过于简单,攻击者可以通过暴力破解或字典攻击来猜测密钥。 应该使用足够长的随机字符串作为密钥。
重放攻击: 攻击者可以截获JWT,并在之后重新发送。 可以使用nonce(一次性随机数)来防止重放攻击。 将nonce添加到JWT的payload中,并在服务器端验证nonce是否已经使用过。
如何选择合适的JWT库?
PHP有很多JWT库可供选择,例如
firebase/php-jwt、
lcobucci/jwt等。 选择JWT库时,应该考虑以下因素:
- 安全性: 选择经过安全审计的JWT库。
- 易用性: 选择API简洁易用的JWT库。
- 性能: 选择性能良好的JWT库。
- 维护性: 选择活跃维护的JWT库。
总而言之,在PHP中使用JWT进行身份验证,需要认真考虑安全性问题,并采取相应的措施来保护JWT和密钥。
