JWT是什么？对JWT的简单认识

内容导读

收集整理的这篇技术教程文章主要介绍了JWT是什么？对JWT的简单认识，小编现在分享给大家，供广大互联网技能从业者学习和参考。文章包含4226字，纯文字阅读大概需要7分钟。

内容图文

本篇文章给大家带来的内容是关于JWT是什么？对JWT的简单认识，有一定的参考价值，有需要的朋友可以参考一下，希望对你有所帮助。

一直没有好好看过jwt，直到前两天要做web验证，朋友给我推荐了jwt。才发现jwt已经被大家广泛的应用了。看来我有点out了。哈哈，趁着这个世界来好好看看这个。

JWT(JSON Web Token), 顾名思义就是可以在Web上传输的token，这种token是用JSON格式进行format的。它是一个开源标准(RFC 7519)，定义了一个紧凑的自包含的方式在不同实体之间安全的用JSON格式传输信息。

由于现在很多项目都是前后端分离，restful api模式。所以传统的session模式就没有办法满足认证需求，这个时候jwt的作用就来了。可以说 restful api认证是jwt的一个很好的应用场景。

下面是一个很小的demo

<?phprequire_once 'src/JWT.php';header('Content-type:application/json');//定义Keyconst KEY = 'dasjdkashdwqe1213dsfsn;p';$user = [    'uid'=>'dadsa-12312-vsd1s1-fsds',    'account'=>'daisc',    'password'=>'123456'];$redis = redis();$action  =  $_GET['action'];switch ($action){    case 'login':        login();        break;    case 'info':        info();        break;}//登陆，写入验证tokenfunction login(){    global  $user;    $account = $_GET['account'];    $pwd = $_GET['password'];    $res = [];    if($account==$user['account']&&$pwd==$user['password'])    {        unset($user['password']);        $time = time();        $token = [            'iss'=>'http://test.cc',//签发者            'iat'=>$time,            'exp'=>$time+60,            'data'=>$user        ];        $jwt = FirebaseJWTJWT::encode($token,KEY);        $res['code'] = 200;        $res['message'] = '登录成功';        $res['jwt'] = $jwt;    }    else    {        $res['message']= '用户名或密码错误';        $res['code'] = 401;    }    exit(json_encode($res));}function info(){   $jwt = $_SERVER['HTTP_AUTHORIZATION'] ?? false;   $res['code'] = 200;   if($jwt)   {        $jwt = str_replace('Bearer ','',$jwt);        if(empty($jwt))        {            $res['code'] = 401;            $res['msg'] = 'You do not have permission to access.';            exit(json_encode($res));        }        try{            $token = (array) FirebaseJWTJWT::decode($jwt,KEY, ['HS256']);            if($token['exp']<time())            {                $res['code'] = 401;                $res['msg'] = '登录超时，请重新登录';            }            $res['data']= $token['data'];        }catch (Exception $E)        {            $res['code'] = 401;            $res['msg'] = '登录超时，请重新登录.';        }   }   else   {       $res['code'] = 401;       $res['msg'] = 'You do not have permission to access.';   }    exit(json_encode($res));}//连接redisfunction redis(){    $redis = new  Redis();    $redis->connect('127.0.0.1');    return $redis;}

这个dmeo里面用jwt做了一个简单的认证。 其中用到了一个php-jwt的加密包https://github.com/firebase/php-jwt

其中KEY为定义的私钥也就是jwt里面的 sign部分，这个一定要保存好。
而header部分php-jwt包里面已经帮我们完成了，加密代码如下

    */    public static function encode($payload, $key, $alg = 'HS256', $keyId = null, $head = null)    {        $header = array('typ' => 'JWT', 'alg' => $alg);        if ($keyId !== null) {            $header['kid'] = $keyId;        }        if ( isset($head) && is_array($head) ) {            $header = array_merge($head, $header);        }        $segments = array();        $segments[] = static::urlsafeB64Encode(static::jsonEncode($header));        $segments[] = static::urlsafeB64Encode(static::jsonEncode($payload));        $signing_input = implode('.', $segments);        $signature = static::sign($signing_input, $key, $alg);        $segments[] = static::urlsafeB64Encode($signature);        return implode('.', $segments);    }

可以看出默认的加密的方式是HS256。这也是说jwt安全的原因。现阶段HS256加密还是很安全的。
这个包里面也支持证书加密。

加密解密的过程这个包已经帮我们完成了。所以我们只需要定义jwt中的 poyload部分就可以了。也就是demo里面的token部分。加密成功会得到一个加密的Jwt字符串，下次前端在请求api的时候需要携带这个jwt字符串作为认证。
在header头里面增加Authorization。在服务端验证的时候回通过取得这个值来验证回话的有效。

下面是poyload的一些常用配置

 $token   = [            #非必须。issuer 请求实体，可以是发起请求的用户的信息，也可是jwt的签发者。            "iss"       => "http://example.org",            #非必须。issued at。 token创建时间，unix时间戳格式            "iat"       => $_SERVER['REQUEST_TIME'],            #非必须。expire 指定token的生命周期。unix时间戳格式            "exp"       => $_SERVER['REQUEST_TIME'] + 7200,            #非必须。接收该JWT的一方。            "aud"       => "http://example.com",            #非必须。该JWT所面向的用户            "sub"       => "jrocket@example.com",            # 非必须。not before。如果当前时间在nbf里的时间之前，则Token不被接受；一般都会留一些余地，比如几分钟。            "nbf"       => 1357000000,            # 非必须。JWT ID。针对当前token的唯一标识            "jti"       => '222we',            # 自定义字段            "GivenName" => "Jonny",            # 自定义字段            "name"   => "Rocket",            # 自定义字段            "Email"     => "jrocket@example.com",                 ];

里面包含的配置可以自由配置，也可以自己添加一些其他的。这些都是网上大家常用的，可以说是一种约定吧。

以上就是JWT是什么？对JWT的简单认识的详细内容，更多请关注Gxl网其它相关文章！

内容总结

以上是为您收集整理的JWT是什么？对JWT的简单认识全部内容，希望文章能够帮你解决JWT是什么？对JWT的简单认识所遇到的程序开发问题。 如果觉得技术教程内容还不错，欢迎将网站推荐给程序员好友。

内容备注

版权声明：本文内容由互联网用户自发贡献，该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容， 请发送邮件至 举报，一经查实，本站将立刻删除。

希望以上内容对你有所帮助！如果还有其他问题，请随时提问。 各类知识收集 拥有多年CMS企业建站经验，对 lecms， classcms， fastadmin， pbootcms， phpcms， eyoucms， yzmcms， PHP， xunruicms， jizhicms， dedecms， wordpress， hkcms， yzncms， 等各类cms的相互转化，程序开发，网站制作，bug修复，程序杀毒，插件定制都可以提供最佳解决方案。