應用程序身份驗證曾經(jīng)只依賴于用戶名/郵箱和密碼等憑據(jù)，會話用于維護用戶狀態(tài)直至用戶注銷。之后，我們開始使用身份驗證API。最近，JSON Web Tokens (JWT) 越來越多地用于對服務器請求進行身份驗證。

本文將介紹JWT是什么以及如何使用PHP進行基于JWT的用戶請求身份驗證。

要點

1. 身份驗證方法的演變: 本文概述了用戶身份驗證方法的演變，從傳統(tǒng)的會話到使用JSON Web Tokens (JWT)，突出了向更安全、更高效的Web應用程序用戶身份驗證和會話管理方式的轉變。
2. JWT的優(yōu)勢和應用: 本文解釋了JWT相對于其他身份驗證方法的優(yōu)勢，例如存儲信息和元數(shù)據(jù)的能力、與OAUTH2的兼容性以及過期控制的提供，說明了JWT如何增強用戶身份驗證過程的安全性與靈活性。
3. PHP中的實際應用: 本文提供了在基于PHP的應用程序中實現(xiàn)JWT的綜合指南，涵蓋了JWT的生成、使用和驗證。其中包括詳細的代碼示例和解釋，為讀者提供了一個在自己的Web項目中集成基于JWT的身份驗證的清晰路線圖。

JWT與會話

首先，為什么會話不是那么好呢？主要有三個原因：

• 數(shù)據(jù)以明文形式存儲在服務器上。即使數(shù)據(jù)通常不存儲在公共文件夾中，任何擁有足夠服務器訪問權限的人都可以讀取會話文件的內(nèi)容。
• 它們涉及文件系統(tǒng)讀/寫請求。每次會話啟動或其數(shù)據(jù)被修改時，服務器都需要更新會話文件。每次應用程序發(fā)送會話cookie時也是如此。如果用戶數(shù)量很多，最終可能會導致服務器速度變慢，除非您使用備用的會話存儲選項，例如Memcached和Redis。
• 分布式/集群式應用程序。由于會話文件默認存儲在文件系統(tǒng)上，因此很難為高可用性應用程序（需要使用負載均衡器和集群服務器等技術）構建分布式或集群式基礎架構。必須實現(xiàn)其他存儲介質(zhì)和特殊配置，并且必須充分了解其含義。

JWT

現(xiàn)在，讓我們開始學習JWT。JSON Web Token規(guī)范（RFC 7519）于2010年12月28日首次發(fā)布，最近一次更新是在2015年5月。

JWT比API密鑰具有許多優(yōu)勢，包括：

• API密鑰是隨機字符串，而JWT包含信息和元數(shù)據(jù)。這些信息和元數(shù)據(jù)可以描述各種內(nèi)容，例如用戶的身份、授權數(shù)據(jù)以及令牌在時間范圍或相對于域的有效性。
• JWT不需要集中的頒發(fā)或撤銷機構。
• JWT與OAUTH2兼容。
• JWT數(shù)據(jù)可以被檢查。
• JWT具有過期控制。
• JWT適用于空間受限的環(huán)境，例如HTTP Authorization標頭。
• 數(shù)據(jù)以JavaScript對象表示法（JSON）格式傳輸。
• JWT使用Base64url編碼表示。

JWT長什么樣？

這是一個JWT示例：

<code>eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpYXQiOjE0MTY5MjkxMDksImp0aSI6ImFhN2Y4ZDBhOTVjIiwic2NvcGVzIjpbInJlcG8iLCJwdWJsaWNfcmVwbyJdfQ.XCEwpBGvOLma4TCoh36FU7XhUbcskygS81HE1uHLf0E</code>

乍一看，這個字符串似乎只是用句點或點字符連接的隨機字符組。因此，它似乎與API密鑰沒有什么不同。但是，如果您仔細觀察，就會發(fā)現(xiàn)有三個單獨的字符串。

JWT標頭

第一個字符串是JWT標頭。它是一個Base64 URL編碼的JSON字符串。它指定了用于生成簽名的加密算法以及令牌的類型，該類型始終設置為JWT。該算法可以是對稱的或非對稱的。

對稱算法使用單個密鑰來創(chuàng)建和驗證令牌。該密鑰在JWT的創(chuàng)建者和使用者之間共享。務必確保只有創(chuàng)建者和使用者知道密鑰。否則，任何人都可以創(chuàng)建有效的令牌。

非對稱算法使用私鑰來簽署令牌，并使用公鑰來驗證令牌。當共享密鑰不切實際或其他方只需要驗證令牌的完整性時，應使用這些算法。

JWT的有效負載

第二個字符串是JWT的有效負載。它也是一個Base64 URL編碼的JSON字符串。它包含一些標準字段，稱為“聲明”。聲明有三種類型：注冊的、公共的和私有的。

注冊的聲明是預定義的。您可以在JWT的RFC中找到它們的列表。以下是一些常用的聲明：

• iat：令牌頒發(fā)的日期時間戳。
• key：一個唯一的字符串，可用于驗證令牌，但這與沒有集中的頒發(fā)者機構相悖。
• iss：包含頒發(fā)者名稱或標識符的字符串?？梢允怯蛎捎糜趤G棄來自其他應用程序的令牌。
• nbf：令牌應開始被視為有效的日期時間戳。應等于或大于iat。
• exp：令牌應停止有效的日期時間戳。應大于iat和nbf。

您可以根據(jù)需要定義公共聲明。但是，它們不能與注冊的聲明或已存在的公共聲明的聲明相同。您可以隨意創(chuàng)建私有聲明。它們僅供雙方使用：生產(chǎn)者和消費者。

JWT的簽名

JWT的簽名是一種加密機制，旨在使用對令牌內(nèi)容唯一的數(shù)字簽名來保護JWT的數(shù)據(jù)。簽名確保JWT的完整性，以便使用者可以驗證它沒有被惡意行為者篡改。

JWT的簽名是三件事的組合：

• JWT的標頭
• JWT的有效負載
• 一個秘密值

這三者使用JWT標頭中指定的算法進行數(shù)字簽名（未加密）。如果我們解碼上面的示例，我們將得到以下JSON字符串：

JWT的標頭

<code>eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpYXQiOjE0MTY5MjkxMDksImp0aSI6ImFhN2Y4ZDBhOTVjIiwic2NvcGVzIjpbInJlcG8iLCJwdWJsaWNfcmVwbyJdfQ.XCEwpBGvOLma4TCoh36FU7XhUbcskygS81HE1uHLf0E</code>

JWT的數(shù)據(jù)

<code>{
    "alg": "HS256",
    "typ": "JWT"
}</code>

您可以自己嘗試jwt.io，在那里您可以嘗試編碼和解碼您自己的JWT。

在基于PHP的應用程序中使用JWT

既然您已經(jīng)了解了JWT是什么，那么現(xiàn)在是時候?qū)W習如何在PHP應用程序中使用它們了。在深入研究之前，您可以隨意克隆本文的代碼，或者按照我們的步驟進行操作。

您可以采用多種方法來集成JWT，但以下是我們將要采用的方法。

除登錄和注銷頁面外，對應用程序的所有請求都需要通過JWT進行身份驗證。如果用戶在沒有JWT的情況下發(fā)出請求，他們將被重定向到登錄頁面。

用戶填寫并提交登錄表單后，表單將通過JavaScript提交到我們應用程序中的登錄端點authenticate.php。然后，端點將從請求中提取憑據(jù)（用戶名和密碼），并檢查它們是否有效。

如果有效，它將生成一個JWT并將其發(fā)送回客戶端。當客戶端收到JWT時，它將存儲JWT并將其用于對應用程序的未來每次請求。

對于一個簡單的場景，用戶只能請求一個資源——一個恰當命名的PHP文件resource.php。它不會做太多事情，只是返回一個包含請求時當前時間戳的字符串。

在發(fā)出請求時，可以使用多種方法來使用JWT。在我們的應用程序中，JWT將發(fā)送在Bearer授權標頭中。

如果您不熟悉Bearer Authorization，它是一種HTTP身份驗證形式，其中令牌（例如JWT）發(fā)送在請求標頭中。服務器可以檢查令牌并確定是否應授予令牌的“持有者”訪問權限。

這是一個標頭的示例：

<code>{
    "iat": 1416929109,
    "jti": "aa7f8d0a95c",
    "scopes": [
        "repo",
        "public_repo"
    ]
}</code>

對于我們的應用程序收到的每個請求，PHP都將嘗試從Bearer標頭中提取令牌。如果存在，則對其進行驗證。如果有效，用戶將看到該請求的正常響應。但是，如果JWT無效，則不允許用戶訪問資源。

請注意，JWT并非旨在替代會話cookie。

先決條件

首先，我們需要在我們的系統(tǒng)上安裝PHP和Composer。

在項目的根目錄中，運行composer install。這將引入Firebase PHP-JWT，這是一個簡化JWT操作的第三方庫，以及用于簡化應用程序中對配置數(shù)據(jù)訪問的laminas-config。

登錄表單

圖片

安裝庫后，讓我們逐步完成authenticate.php中的登錄代碼。我們首先進行通常的設置，確保Composer生成的自動加載器可用。

<code>eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpYXQiOjE0MTY5MjkxMDksImp0aSI6ImFhN2Y4ZDBhOTVjIiwic2NvcGVzIjpbInJlcG8iLCJwdWJsaWNfcmVwbyJdfQ.XCEwpBGvOLma4TCoh36FU7XhUbcskygS81HE1uHLf0E</code>

收到表單提交后，憑據(jù)將針對數(shù)據(jù)庫或其他一些數(shù)據(jù)存儲進行驗證。出于本示例的目的，我們將假設它們有效，并將$hasValidCredentials設置為true。

<code>{
    "alg": "HS256",
    "typ": "JWT"
}</code>

接下來，我們初始化一組變量，用于生成JWT。請記住，由于JWT可以在客戶端進行檢查，因此不要在其中包含任何敏感信息。

另一件值得指出的是，$secretKey不會像這樣初始化。您可能會在環(huán)境中設置它并提取它，使用phpdotenv等庫，或在配置文件中設置它。在本例中，我避免這樣做，因為我想關注JWT代碼。

切勿泄露它或?qū)⑵浯鎯υ诎姹究刂葡拢?/p>

<code>{
    "iat": 1416929109,
    "jti": "aa7f8d0a95c",
    "scopes": [
        "repo",
        "public_repo"
    ]
}</code>

準備好有效負載數(shù)據(jù)后，我們接下來使用php-jwt的靜態(tài)encode方法來創(chuàng)建JWT。

該方法：

• 將數(shù)組轉換為JSON
• 生成標頭
• 簽署有效負載
• 編碼最終字符串

它接受三個參數(shù)：

• 有效負載信息
• 密鑰
• 用于簽署令牌的算法

通過對函數(shù)結果調(diào)用echo，返回生成的令牌：

<code>Authorization: Bearer ab0dde18155a43ee83edba4a4542b973</code>

使用JWT

圖片

現(xiàn)在客戶端有了令牌，您可以使用JavaScript或您喜歡的任何機制來存儲它。以下是如何使用原生JavaScript進行操作的示例。在index.html中，成功提交表單后，收到的JWT將存儲在內(nèi)存中，登錄表單將被隱藏，并且將顯示請求時間戳的按鈕：

<?php
declare(strict_types=1);

use Firebase\JWT\JWT;

require_once('../vendor/autoload.php');

使用JWT

單擊“獲取當前時間戳”按鈕時，將向resource.php發(fā)出GET請求，該請求在Authorization標頭中設置身份驗證后收到的JWT。

<?php
// 從請求中提取憑據(jù)

if ($hasValidCredentials) {

當我們單擊按鈕時，將發(fā)出類似于以下內(nèi)容的請求：

$secretKey  = 'bGS6lzFqvvSQ8ALbOxatm7/Vk7mLQyzqaS34Q4oR1ew=';
$issuedAt   = new DateTimeImmutable();
$expire     = $issuedAt->modify('+6 minutes')->getTimestamp();      // 添加60秒
$serverName = "your.domain.name";
$username   = "username";                                           // 從過濾后的POST數(shù)據(jù)中檢索

$data = [
    'iat'  => $issuedAt->getTimestamp(),         // 頒發(fā)時間：生成令牌的時間
    'iss'  => $serverName,                       // 頒發(fā)者
    'nbf'  => $issuedAt->getTimestamp(),         // 不早于
    'exp'  => $expire,                           // 過期
    'userName' => $username,                     // 用戶名
];

假設JWT有效，我們將看到資源，之后響應將寫入控制臺。

驗證JWT

最后，讓我們看看如何在PHP中驗證令牌。與往常一樣，我們將包含Composer的自動加載器。然后，我們可以選擇檢查是否使用了正確的請求方法。為了繼續(xù)關注JWT特定的代碼，我已經(jīng)跳過了執(zhí)行此操作的代碼：

<?php     // 將數(shù)組編碼為JWT字符串。
    echo JWT::encode(
        $data,
        $secretKey,
        'HS512'
    );
}

然后，代碼將嘗試從Bearer標頭中提取令牌。我已經(jīng)使用preg_match這樣做了。如果您不熟悉該函數(shù)，它將在字符串上執(zhí)行正則表達式匹配。

我在這里使用的正則表達式將嘗試從Bearer標頭中提取令牌，并轉儲其他所有內(nèi)容。如果找不到，則返回HTTP 400錯誤請求：

const store = {};
const loginButton = document.querySelector('#frmLogin');
const btnGetResource = document.querySelector('#btnGetResource');
const form = document.forms[0];

// 將jwt插入到store對象中
store.setJWT = function (data) {
  this.JWT = data;
};

loginButton.addEventListener('submit', async (e) => {
  e.preventDefault();

  const res = await fetch('/authenticate.php', {
    method: 'POST',
    headers: {
      'Content-type': 'application/x-www-form-urlencoded; charset=UTF-8'
    },
    body: JSON.stringify({
      username: form.inputEmail.value,
      password: form.inputPassword.value
    })
  });

  if (res.status >= 200 && res.status < 300) {
    const jwt = await res.text();
    store.setJWT(jwt);
    frmLogin.style.display = 'none';
    btnGetResource.style.display = 'block';
  } else {
    // 處理錯誤
    console.log(res.status, res.statusText);
  }
});

請注意，默認情況下，Apache不會將HTTP_AUTHORIZATION標頭傳遞給PHP。其背后的原因是：

基本授權標頭只有在您的連接通過HTTPS完成時才安全，因為否則憑據(jù)將以編碼的明文（未加密）形式通過網(wǎng)絡發(fā)送，這是一個巨大的安全問題。

我完全理解這一決定的邏輯。但是，為了避免很多混淆，請將以下內(nèi)容添加到您的Apache配置中。然后代碼將按預期工作。如果您使用的是NGINX，則代碼應該按預期工作：

<code>eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpYXQiOjE0MTY5MjkxMDksImp0aSI6ImFhN2Y4ZDBhOTVjIiwic2NvcGVzIjpbInJlcG8iLCJwdWJsaWNfcmVwbyJdfQ.XCEwpBGvOLma4TCoh36FU7XhUbcskygS81HE1uHLf0E</code>

接下來，我們嘗試提取匹配的JWT，它將位于$matches變量的第二個元素中。如果不可用，則沒有提取JWT，并返回HTTP 400錯誤請求：

<code>{
    "alg": "HS256",
    "typ": "JWT"
}</code>

如果我們到達此點，則已提取JWT，因此我們轉到解碼和驗證階段。為此，我們再次需要我們的密鑰，它將從環(huán)境或應用程序的配置中提取。然后，我們使用php-jwt的靜態(tài)decode方法，將JWT、密鑰和一組用于解碼JWT的算法傳遞給它。

如果能夠成功解碼，我們就會嘗試驗證它。我這里的示例非常簡單，因為它只使用頒發(fā)者、不早于和過期時間戳。在實際應用程序中，您可能還會使用許多其他聲明。

<code>{
    "iat": 1416929109,
    "jti": "aa7f8d0a95c",
    "scopes": [
        "repo",
        "public_repo"
    ]
}</code>

如果令牌無效，例如令牌已過期，則用戶將收到HTTP 401未授權標頭，并且腳本將退出。

如果解碼和驗證過程失敗，則可能是：

• 提供的段數(shù)與前面描述的標準三個段數(shù)不匹配。
• 標頭或有效負載不是有效的JSON字符串。
• 簽名無效，這意味著數(shù)據(jù)已被篡改！
• JWT中設置了nbf聲明，其時間戳小于當前時間戳。
• JWT中設置了iat聲明，其時間戳小于當前時間戳。
• JWT中設置了exp聲明，其時間戳大于當前時間戳。

如您所見，JWT具有一套不錯的控制措施，無需手動撤銷或針對有效令牌列表進行檢查即可將其標記為無效。

如果解碼和驗證過程成功，則用戶將被允許發(fā)出請求，并將收到相應的響應。

總結

這是一個關于JSON Web Tokens（或JWT）以及如何在基于PHP的應用程序中使用它們的快速介紹。從這里開始，您可以嘗試在下一個API中實現(xiàn)JWT，也許嘗試一些使用非對稱密鑰（如RS256）的其他簽名算法，或者將其集成到現(xiàn)有的OAUTH2身份驗證服務器中以用作API密鑰。

如果您有任何意見或問題，請隨時通過Twitter與我們聯(lián)系。

關于使用JWT進行PHP授權的常見問題解答

我們可以在PHP中使用JWT嗎？

您確實可以在PHP中使用JWT來在Web應用程序中建立身份驗證和授權機制。要開始使用，您需要使用Composer安裝PHP JWT庫，例如“firebase/php-jwt”或“l(fā)cobucci/jwt”。這些庫提供了創(chuàng)建、編碼、解碼和驗證JWT的必要工具。 要創(chuàng)建JWT，您可以使用庫來構建包含發(fā)行者、受眾、過期時間等聲明的令牌。創(chuàng)建后，您可以使用密鑰簽署令牌。接收JWT時，您可以使用庫對其進行解碼和驗證以確保其真實性。如果令牌有效且已驗證，您可以訪問其聲明以確定用戶身份和權限，從而允許您在PHP應用程序中實現(xiàn)安全的身份驗證和授權。 保護密鑰并遵循使用JWT時的安全最佳實踐對于防止未經(jīng)授權訪問應用程序資源至關重要。

PHP中的JWT身份驗證是什么？

PHP中的JWT（JSON Web Token）身份驗證是一種廣泛用于在Web應用程序中實現(xiàn)用戶身份驗證和授權的方法。它基于令牌的身份驗證，能夠進行安全且無狀態(tài)的用戶驗證。以下是JWT身份驗證在PHP中的工作方式： 首先，在用戶身份驗證或登錄期間，服務器會生成一個JWT，這是一個緊湊的、自包含的令牌，其中包含與用戶相關的信息（聲明），例如用戶ID、用戶名和角色。這些聲明通常是JSON數(shù)據(jù)。然后，服務器使用密鑰簽署此令牌以確保其完整性和真實性。 其次，成功進行身份驗證后，服務器會將JWT發(fā)送回客戶端，客戶端通常將其存儲在安全位置，例如HTTP cookie或本地存儲。此令牌作為身份驗證的證明。 最后，對于對服務器上受保護資源的后續(xù)請求，客戶端會在請求標頭中附加JWT，通常使用帶有“Bearer”方案的“Authorization”標頭。服務器收到JWT后，會使用在令牌創(chuàng)建期間使用的相同密鑰來驗證其簽名。此外，它還會檢查令牌是否未過期且包含有效的聲明。成功驗證后，它會從令牌聲明中提取用戶信息，并實現(xiàn)授權邏輯以確保用戶具有訪問請求資源所需的權限。這種方法允許在PHP應用程序中進行安全、無狀態(tài)的身份驗證，而無需服務器端會話存儲。 雖然PHP中的JWT身份驗證提供了許多好處，例如可擴展性和無狀態(tài)性，但保護密鑰并采用令牌管理的最佳實踐對于維護應用程序的安全至關重要。使用已建立的PHP JWT庫可以簡化令牌處理并增強安全性。

PHP中JWT的替代方案是什么？

PHP中用于身份驗證和授權的JWT（JSON Web Tokens）的替代方案是基于會話的身份驗證。在基于會話的身份驗證中，服務器為每個已驗證的用戶維護一個會話。當用戶登錄時，會創(chuàng)建一個唯一的會話標識符（通常存儲為客戶端瀏覽器上的會話cookie）。此標識符用于將用戶與服務器端會話數(shù)據(jù)關聯(lián)起來，包括與用戶相關的信息，例如用戶ID、用戶名和權限。 基于會話的身份驗證提供簡單性和易于實現(xiàn)，使其適用于各種Web應用程序，尤其是在您不需要JWT的無狀態(tài)性和可擴展性功能時。它本質(zhì)上是有狀態(tài)的，當您需要在用戶會話期間管理特定于用戶的數(shù)據(jù)（例如購物車內(nèi)容或用戶首選項）時，這可能是有利的。 但是，使用基于會話的身份驗證時，需要考慮一些事項。對于需要無狀態(tài)身份驗證的分布式或基于微服務的架構，它可能不太適用。此外，管理用戶會話可能會增加服務器負載，尤其是在用戶群較大的應用程序中。最終，在PHP中選擇JWT和基于會話的身份驗證應與應用程序的特定需求和設計考慮因素相符，確保安全有效的身份驗證機制最能滿足您的需求。

如何使用JWT保護PHP API？

使用JWT（JSON Web Tokens）保護PHP API涉及一個多步驟過程，該過程結合了身份驗證和授權。首先，選擇合適的PHP JWT庫（如“firebase/php-jwt”或“l(fā)cobucci/jwt”）來處理與令牌相關的操作，并使用Composer管理依賴項。 對于身份驗證，您需要在PHP應用程序中實現(xiàn)用戶身份驗證系統(tǒng)。此系統(tǒng)會針對您的數(shù)據(jù)庫或身份驗證提供程序驗證用戶憑據(jù)。成功進行身份驗證后，您將生成一個JWT令牌，其中包含與用戶相關的聲明，例如用戶的ID、用戶名和角色。務必設置過期時間以控制令牌的有效性，然后使用密鑰簽署令牌。此已簽名的令牌作為身份驗證響應的一部分發(fā)送回客戶端。 客戶端安全地存儲收到的JWT，通常存儲在HTTP cookie或本地存儲中。對于后續(xù)的API請求，客戶端會在請求標頭中包含JWT，作為帶有“Bearer”方案的“Authorization”標頭。在您的PHP API中，您可以通過使用創(chuàng)建令牌時使用的相同密鑰來驗證其簽名來驗證傳入的JWT。此外，您還會檢查令牌是否未過期且包含有效的聲明。成功驗證后，您將從令牌聲明中提取用戶信息，并實現(xiàn)授權邏輯以確保用戶具有訪問請求資源所需的權限。 保持密鑰安全至關重要，因為它對于簽署和驗證令牌都至關重要。此密鑰的任何泄露都可能導致嚴重的安全性漏洞。

以上是JWT（JSON Web令牌）的PHP授權的詳細內(nèi)容。更多信息請關注PHP中文網(wǎng)其他相關文章！