【前端】jwt学习笔记

什么是JWT

JWT是一种用于设备间数据传输的开放性标准的简洁独立的JSON对象凭证。由于使用数字说明,
所以这个凭证是验证可信的。JWT的签名采用的是HMAC哈希值或者RSA公私钥。

JWT的组成(明文)

3部分组成，分别Header,Payload和signature之间用.分隔并base64编码后反给用户。编码前格式大致'{"type":"JWT",...}.{"sub":"主题",...}.ABCDEFfsa!...'。
.Header参数

{
    "typ": "JWT",
    "alg": "HS256",
    "jti": "aakfkd11"
}

参数	必有	说明
typ	是	令牌类型
alt	是	算法类型
jti	否	JWT的编号也可放入`payload`

.payload参数(明文)

{
    "iss": "http:\/\/a784admin.mxnt.net\/api\/authorizations",
    "iat": 1569330469,
    "exp": 1569330529,
    "nbf": 1569330469,
    "jti": "fASGUWtJfSgBOXLq",
    "sub": 33,
    "prv": "cb78b5e1ffce0f831d0231df2c8bd7c806477762"
}

参数	必有	说明
iss	否	【issuer】发布者的url地址
sub	否	【subject】该JWT所面向的用户，用于处理特定应用，不是常用的字段
aud	否	【audience】接受者的url地址
exp	否	【expiration】该jwt销毁的时间；unix时间戳
nbf	否	【not before】该jwt的使用时间不能早于该时间；unix时间戳
iat	否	【issued at】该jwt的发布时间；unix 时间戳
jti	否	【JWT ID】该jwt的唯一ID编号

payload 的内容根据情况调整，以上是官方的推荐参数.

.signature

signture是用于验证token是否合法，没有被篡改的验证依据的字串。JWT的生成算法有3种：
.对称加密 HMAC 【哈希消息验证码】
HS256/HS384/HS512
. 非对称加密 RSASSA【RSA签名算法】和 ECDSA【椭圆曲线数据签名算法】
RS256/RS384/RS512
ES256/ES384/ES512

以下是采用`HMAC`算法的`PHP JWT`封装类

  <?php

namespace App;

class Jwt
{
    private $alg = 'sha256';

    private $secret = "123456";

    /**
     * alg属性表示签名的算法（algorithm），默认是 HMAC SHA256（写成 HS256）；typ属性表示这个令牌（token）的类型（type），JWT 令牌统一写为JWT
     */
    public function getHeader()
    {
        $header = [
            'alg' => $this->alg,
            'typ' => 'JWT'
        ];

        return $this->base64urlEncode(json_encode($header, JSON_UNESCAPED_UNICODE));
    }

    /**
     * Payload 部分也是一个 JSON 对象，用来存放实际需要传递的数据。JWT 规定了7个官方字段，供选用，这里可以存放私有信息，比如uid
     * @param $uid int 用户id
     * @return mixed
     */
    public function getPayload($uid)
    {
        $payload = [
            'iss' => 'admin', //签发人
            'exp' => time() + 600, //过期时间
            'sub' => 'test', //主题
            'aud' => 'every', //受众
            'nbf' => time(), //生效时间
            'iat' => time(), //签发时间
            'jti' => 10001, //编号
            'uid' => $uid, //私有信息，uid
        ];

        return $this->base64urlEncode(json_encode($payload, JSON_UNESCAPED_UNICODE));
    }

    /**
     * 生成token,假设现在payload里面只存一个uid
     * @param $uid int
     * @return string
     */
    public function genToken($uid)
    {
        $header  = $this->getHeader();
        $payload = $this->getPayload($uid);

        $raw   = $header . '.' . $payload;
        $token = $raw . '.' . hash_hmac($this->alg, $raw, $this->secret);

        return $token;
    }


    /**
     * 解密校验token,成功的话返回uid
     * @param $token
     * @return mixed
     */
    public function verifyToken($token)
    {
        if (!$token) {
            return false;
        }
        $tokenArr = explode('.', $token);
        if (count($tokenArr) != 3) {
            return false;
        }
        $header    = $tokenArr[0];
        $payload   = $tokenArr[1];
        $signature = $tokenArr[2];

        $payloadArr = json_decode($this->base64urlDecode($payload), true);

        if (!$payloadArr) {
            return false;
        }

        //已过期
        if (isset($payloadArr['exp']) && $payloadArr['exp'] < time()) {
            return false;
        }

        $expected = hash_hmac($this->alg, $header . '.' . $payload, $this->secret);

        //签名不对
        if ($expected !== $signature) {
            return false;
        }

        return $payloadArr['uid'];
    }

    /**
     * 安全的base64 url编码
     * @param $data
     * @return string
     */
    private function base64urlEncode($data)
    {
        return rtrim(strtr(base64_encode($data), '+/', '-_'), '=');
    }

    /**
     * 安全的base64 url解码
     * @param $data
     * @return bool|string
     */
    private function base64urlDecode($data)
    {
        return base64_decode(str_pad(strtr($data, '-_', '+/'), strlen($data) % 4, '=', STR_PAD_RIGHT))
    }
}

什么是JWT

JWT的组成(明文)

以下是采用HMAC算法的PHP JWT封装类

以下是采用`HMAC`算法的`PHP JWT`封装类