JWT是什么？对JWT的容易认识

网页的本质就是超级文本标记语言，通过结合使用其他的Web技术（如：脚本语言、公共网关接口、组件等），可以创造出功能强大的网页。因而，超级文本标记语言是万维网（Web）编程的基础，也就是说万维网是建立在超文本基础之上的。超级文本标记语言之所以称为超文本标记语言，是因为文本中包含了所谓“超级链接”点。

本篇文章给大家带来的内容是关于JWT是什么？对JWT的简单认识，有一定的参考价值，有需要的朋友可以参考一下，希望对你有所帮助。

一直没有好好看过jwt，直到前两天要做web验证，朋友给我推荐了jwt。才发现jwt已经被大家广泛的应用了。看来我有点out了。哈哈，趁着这个世界来好好看看这个。

JWT(JSON Web Token), 顾名思义就是可以在Web上传输的token，这种token是用JSON格式进行format的。它是一个开源标准(RFC 7519)，定义了一个紧凑的自包含的方式在不同实体之间安全的用JSON格式传输信息。

由于现在很多项目都是前后端分离，restful api模式。所以传统的session模式就没有办法满足认证需求，这个时候jwt的作用就来了。可以说 restful api认证是jwt的一个很好的应用场景。

下面是一个很小的demo

<?php
require_once 'src/JWT.php';
header('Content-type:application/json');
//定义Key
const KEY = 'dasjdkashdwqe1213dsfsn;p';

$user = [
    'uid'=>'dadsa-12312-vsd1s1-fsds',
    'account'=>'daisc',
    'password'=>'123456'
];
$redis = redis();
$action  =  $_GET['action'];
switch ($action)
{
    case 'login':
        login();
        break;
    case 'info':
        info();
        break;

}
//登陆，写入验证token
function login()
{
    global  $user;
    $account = $_GET['account'];
    $pwd = $_GET['password'];
    $res = [];
    if($account==$user['account']&&$pwd==$user['password'])
    {
        unset($user['password']);
        $time = time();
        $token = [
            'iss'=>'http://test.cc',//签发者
            'iat'=>$time,
            'exp'=>$time+60,
            'data'=>$user
        ];
        $jwt = \Firebase\JWT\JWT::encode($token,KEY);
        $res['code'] = 200;
        $res['message'] = '登录成功';
        $res['jwt'] = $jwt;

    }
    else
    {
        $res['message']= '用户名或密码错误';
        $res['code'] = 401;
    }
    exit(json_encode($res));
}





function info()
{
   $jwt = $_SERVER['HTTP_AUTHORIZATION'] ?? false;
   $res['code'] = 200;
   if($jwt)
   {
        $jwt = str_replace('Bearer ','',$jwt);
        if(empty($jwt))
        {
            $res['code'] = 401;
            $res['msg'] = 'You do not have permission to access.';
            exit(json_encode($res));
        }
        try{
            $token = (array) \Firebase\JWT\JWT::decode($jwt,KEY, ['HS256']);
            if($token['exp']<time())
            {
                $res['code'] = 401;
                $res['msg'] = '登录超时，请重新登录';
            }
            $res['data']= $token['data'];
        }catch (\Exception $E)
        {
            $res['code'] = 401;
            $res['msg'] = '登录超时，请重新登录.';
        }
   }
   else
   {
       $res['code'] = 401;
       $res['msg'] = 'You do not have permission to access.';
   }
    exit(json_encode($res));
}



//连接redis
function redis()
{
    $redis = new  Redis();
    $redis->connect('127.0.0.1');
    return $redis;
}

这个dmeo里面用jwt做了一个简单的认证。其中用到了一个php-jwt的加密包https://github.com/firebase/php-jwt

其中KEY为定义的私钥也就是jwt里面的 sign部分，这个一定要保存好。
而header部分php-jwt包里面已经帮我们完成了，加密代码如下

*/ public static function encode($payload, $key, $alg = 'HS256', $keyId = null, $head = null) { $header = array('typ' => 'JWT', 'alg' => $alg); if ($keyId !== null) { $header['kid'] = $keyId; } if ( isset($head) && is_array($head) ) { $header = array_merge($head, $header); } $segments = array(); $segments[] = static::urlsafeB64Encode(static::jsonEncode($header)); $segments[] = static::urlsafeB64Encode(static::jsonEncode($payload)); $signing_input = implode('.', $segments); $signature = static::sign($signing_input, $key, $alg); $segments[] = static::urlsafeB64Encode($signature); return implode('.', $segments); }

可以看出默认的加密的方式是HS256。这也是说jwt安全的原因。现阶段HS256加密还是很安全的。
这个包里面也支持证书加密。

加密解密的过程这个包已经帮我们完成了。所以我们只需要定义jwt中的 poyload部分就可以了。也就是demo里面的token部分。加密成功会得到一个加密的Jwt字符串，下次前端在请求api的时候需要携带这个jwt字符串作为认证。
在header头里面增加Authorization。在服务端验证的时候回通过取得这个值来验证回话的有效。

下面是poyload的一些常用配置

$token = [ #非必须。issuer 请求实体，可以是发起请求的用户的信息，也可是jwt的签发者。 "iss" => "http://example.org", #非必须。issued at。 token创建时间，unix时间戳格式 "iat" => $_SERVER['REQUEST_TIME'], #非必须。expire 指定token的生命周期。unix时间戳格式 "exp" => $_SERVER['REQUEST_TIME'] + 7200, #非必须。接收该JWT的一方。 "aud" => "http://example.com", #非必须。该JWT所面向的用户 "sub" => "jrocket@example.com", # 非必须。not before。如果当前时间在nbf里的时间之前，则Token不被接受；一般都会留一些余地，比如几分钟。 "nbf" => 1357000000, # 非必须。JWT ID。针对当前token的唯一标识 "jti" => '222we', # 自定义字段 "GivenName" => "Jonny", # 自定义字段 "name" => "Rocket", # 自定义字段 "Email" => "jrocket@example.com", ];

里面包含的配置可以自由配置，也可以自己添加一些其他的。这些都是网上大家常用的，可以说是一种约定吧。

以上就是JWT是什么？对JWT的简单认识的详细内容，更多请关注php中文网其它相关文章！

网站建设是一个广义的术语，涵盖了许多不同的技能和学科中所使用的生产和维护的网站。

关键词：JWT是啥？对JWT的容易认识