随着互联网的发展,web应用的用户量逐渐增多,安全问题也成为了越来越重要的问题。身份验证是web应用安全的重要组成部分,因为只有经过身份验证的用户才能访问需要权限的资源。
JSON Web Token (JWT) 是一种轻便、自包含的认证 token,是在 Web 应用间安全地传输信息的好方法。JWT 认证方案适用于分布式系统和单页应用。
ThinkPHP是一个流行的PHP框架,它提供了许多工具来开发安全的Web应用程序。在本文中,我们将介绍如何在ThinkPHP6中使用JWT进行身份验证以增强应用程序的安全性。
开发环境和依赖
在开始之前,我们需要确保开发环境已经正确设置。以下是本文所使用的环境和依赖。请根据您的需求进行相应地更改。
立即学习“PHP免费学习笔记(深入)”;
步骤1:安装 Firebase JWT PHP 库
安装 Firebase JWT PHP 库是使用 JWT 身份验证方案的第一步。该库将帮助我们创建、签名和验证 JWT。
我们可以使用 Composer 安装 Firebase JWT PHP 库。 在命令行中输入以下命令:
composer require firebase/php-jwt
步骤2:创建Token类
为了便于管理和使用 JWT,我们创建一个名为Token的类来处理 JWT 验证的各个方面。这个类将包括创建令牌,验证令牌,获取令牌信息等功能。
在 app/common 目录下创建 Token.php 文件,并添加以下代码:
<?php namespace appcommon; use FirebaseJWTJWT; class Token { private static $key = 'your_secret_key'; private static $alg = 'HS256'; public static function createToken($data, $expiration = 3600) { $payload = [ 'iss' => 'localhost', 'sub' => 'token', 'iat' => time(), 'exp' => time() + $expiration, 'data' => $data ]; return JWT::encode($payload, self::$key, self::$alg); } public static function decodeToken($token) { return JWT::decode($token, self::$key, [self::$alg]); } public static function getDataByToken($token) { $decoded = self::decodeToken($token); if (isset($decoded->data)) { return $decoded->data; } else { return false; } } public static function verifyToken($token) { $result = false; try { $decoded = self::decodeToken($token); $result = true; } catch (Exception $e) { // Invalid token } return $result; } }
在代码中,我们使用FirebaseJWTJWT库中的encode()和decode()方法来创建和解析 JWT。$key是我们用于签名 JWT 的密钥,$alg是我们选择的算法。 在createToken()方法中,我们使用 JWT 负载中的四个键(iss,iat,exp和sub)并添加自定义data。$expiration参数指定 JWT 的过期时间。因此,JWT 只能在有效期内使用。
步骤3:在中间件中验证令牌
现在我们已经创建了 Token 类以处理 JWT 相关的工作,我们需要在中间件中验证用户 JWT。使用中间件可以方便地在应用程序的控制器代码中拦截和设置响应,并且可以将代码分离到不同的类中以便更好地管理和修改。
在 app/middleware 目录下创建Jwt.php文件,并添加以下代码:
<?php namespace appmiddleware; use appcommonToken; use thinkexceptionHttpResponseException; use thinkResponse; class Jwt { public function handle($request, Closure $next) { if (!$request->header('Authorization')) { return json(['code' => 401, 'msg' => 'Unauthorized']); } $header = $request->header('Authorization'); $token = substr($header, 7); if (Token::verifyToken($token)) { $request->data = Token::getDataByToken($token); return $next($request); } else { return json(['code' => 401, 'msg' => 'Unauthorized']); } } }
在此中间件中,我们使用 Token 类中的verifyToken()方法来验证 JWT。 此方法将返回 true 或 false,表示令牌是否有效。 如果有效,我们将使用getDataByToken()方法来获取 JWT 的数据部分并将其存储在$request->data中。 这样,控制器就可以使用此数据。
步骤4:设置路由
现在,我们已经创建了中间件,我们需要将其应用到适当的路由上。
假设我们要保护/api/user的路由,我们需要在routepi.php文件中按如下方式设置路由:
use appmiddlewareJwt; Route::group('api', function() { Route::get('user', 'UserController@getUserInfo')->middleware(Jwt::class); });
请注意,在此路由中,我们将Jwt中间件作为参数传递给middleware()方法。这是UserController中的getUserInfo()方法的示例代码。
<?php namespace appcontroller; use appcommonToken; class UserController { public function getUserInfo() { $data = request()->data; ... } ... }
在控制器中,您可以通过调用$request->data来访问经过身份验证的 JWT 中存储的数据。
结论
JWT 身份验证方法可以使您的 Web 应用程序更安全和可靠。在本文中,我们介绍了如何在ThinkPHP6中使用 Firebase JWT PHP 库来创建和验证 JWT。
我们创建了一个名为 Token 的类,该类用于处理 JWT 相关的工作,并且添加了一个用于验证 JWT 并设置数据的中间件。最后,我们设置了使用此中间件的路由和控制器代码以访问存储在 JWT 中的数据。
引入 JWT 身份验证的主要目的是确保应用程序中的资源只能被经过身份验证的用户使用。希望本文能够帮助您了解如何使用 JWT 身份验证来保护您的应用程序!