聊聊在PHP中如何使用JWT进行身份认证-php教程-PHP中文网

聊聊在PHP中如何使用JWT进行身份认证

PHPz

发布： 2023-03-31 09:10:17

原创

1333人浏览过

jwt（json web token）是一种用于身份验证和授权的开放标准。jwt由三部分组成，分别是头部（header）、载荷（payload）和签名（signature）。在使用jwt时，服务器会发送一个jwt给客户端，客户端在后续请求中携带该jwt，服务器通过验证jwt的签名和有效期来确认请求的合法性。

PHP是一种常用的Web开发语言，它提供了许多JWT的实现方式。下面将介绍在PHP中如何使用JWT进行身份认证。

安装JWT

在使用JWT之前，需要安装PHP的JWT包。可以通过如下命令进行安装：

composer require firebase/php-jwt

登录后复制

安装完成后，可以在项目中引入JWT：

require_once('vendor/autoload.php');
use Firebase\JWT\JWT;

登录后复制

生成JWT

在进行身份认证时，需要服务器生成一个JWT并发送给客户端。生成JWT的过程包括生成Header、Payload和Signature三部分。

立即学习“PHP免费学习笔记（深入）”；

// 将需要编码的数据放到一个关联数组中
$payload = array(
    "user_id" => 123456,
);

// 生成Header
$header = array(
    "alg" => "HS256",  // 采用的加密算法
    "typ" => "JWT"
);

// 生成JWT
$jwt = JWT::encode($payload, SECRET_KEY, 'HS256');
// SECRET_KEY为加密密钥

登录后复制

生成JWT后，将其发送给客户端即可。

验证JWT

在客户端的后续请求中，需要携带JWT，并通过服务器的验证来确认请求的合法性。服务器验证JWT的过程包括解码Header、Payload和Signature三部分以及验证Signature是否正确和有效期是否过期。

// 解码JWT
$jwt_decoded = JWT::decode($jwt, SECRET_KEY, array('HS256'));

// 验证Signature和有效期
$jwt_verified = JWT::verify($jwt, SECRET_KEY, array('HS256'));

登录后复制

如果Signature和有效期均通过验证，则可以继续进行请求处理。如果未通过验证，则需要拒绝该请求。

处理JWT过期

JWT具有有效期，在有效期内可以被用于多次请求。过期后，客户端需要重新获取JWT，并将其放入请求中。在处理JWT时，需要对其有效期进行检查。

try {
    // 解码JWT
    $jwt_decoded = JWT::decode($jwt, SECRET_KEY, array('HS256'));
    // 检查有效期
    if ($jwt_decoded->exp < time()) {
        // JWT已过期
        throw new Exception('JWT已过期');
    }
} catch (Exception $e) {
    // JWT无效或已过期
    // 需要重新获取JWT或返回错误
}

登录后复制