首先了解一下什么是JWT
JWT 是一种开放标准(RFC 7519),用于在各方之间以 JSON 对象形式安全传输信息4。其核心特点包括:
结构:由三部分组成(Header、Payload、Signature),通过点号分隔,例如 xxxxx.yyyyy.zzzzz2。Header:声明加密算法和 Token 类型(如 HS256)。Payload:包含用户信息、注册声明(如 iss、exp)和自定义数据。Signature:通过密钥对前两部分签名,确保数据完整性。
用途:身份认证:用户登录后,服务端生成 JWT 返回客户端,客户端后续请求携带 JWT 以访问受保护资源1。
JWT的优势
-
无状态性
优势:JWT 自身包含用户身份和权限信息,服务端无需存储会话数据(如 Session),直接通过验证 Token 签名即可完成认证。 效果:降低服务端资源消耗,天然支持分布式系统和横向扩展。 对比:传统 Session 需要服务端维护会话状态,多服务器场景需共享 Session 存储(如 Redis),增加复杂度。 -
跨域支持
优势:JWT 通过 HTTP 头(如 Authorization: Bearer <token>)传递,不受 Cookie 同源策略限制。 应用场景:适合前后端分离、跨域 API 调用及微服务架构。 对比:Cookie 需额外配置 CORS 策略,且存在跨域限制。 -
安全性增强
优势:防 CSRF:Token 存储在客户端而非 Cookie,避免跨站请求伪造攻击。 防篡改:签名机制(如 HS256)确保 Token 内容完整性和来源可信。 -
标准化与灵活性
优势:JWT 遵循 RFC 7519 标准,支持多种签名算法(如 RSA、HMAC)和自定义声明(Claims),便于集成第三方服务。 扩展场景:单点登录(SSO)、API 网关鉴权等。
搭建JWT工具类
首先确定一些参数
private static $key = '4875c029de194dd79ade2ee5aa68ee57';//密钥
private const exp = 3600;//token过期时间 1小时
private const alg = 'HS256';//加密算法
private const iss = 'ceshi';// 签发人
private const aud = 'web';// 受众
密钥可以自己随便写,但是建议不要太简单
签发人一般是用于校验该token是不是自己的
受众一般是用于区分web和app端的
密钥可以使用下面代码生成一个
public function init()
{$md5 = md5(time());return $md5;
}
生成密钥的方法
public static function createToken($data)
{$time = time();$payload = ["iat" => $time, // 签发时间"nbf" => $time, // 生效时间"exp" => self::exp + $time, // 失效时间"iss" => self::iss,// 签发人"aud" => self::aud,// 受众"data" => $data, // 自定义数据];return JWT::encode($payload, self::$key, self::alg);
}
使用样例
$token = Token::createToken(['id' => '1', 'role' => 'admin']);
解析密钥并校验的方法
解析方法
private static function decodeToken($token)
{try {return JWT::decode($token, new Key(self::$key, self::alg));} catch (\Exception $e) {throw new HttpResponseException(json(['code' => 401, 'msg' => 'token无效']));}
}
验证管理员
public static function isAdmin($token)
{$decodeToken = self::decodeToken($token);return $decodeToken->data->role === 'admin';
}
使用样例
if (!Token::isAdmin($token)) {$this->error('权限不足');
}
验证是否为本人token
public static function checkSelf($userId, $token)
{$decodeToken = self::decodeToken($token);return $decodeToken->data->id == $userId;}
使用样例
if (!Token::checkSelf($id, $token)) {$this->error('权限不足');
}
完整代码
<?phpnamespace app\common\library;//这个命名空间记得要换成自己的use Firebase\JWT\JWT;
use Firebase\JWT\Key;
use think\exception\HttpResponseException;class Token
{private static $key = '4875c029de194dd79ade2ee5aa68ee57';//密钥private const exp = 3600;//token过期时间 1小时private const alg = 'HS256';//加密算法private const iss = 'ceshi';// 签发人private const aud = 'web';// 受众public static function createToken($data){$time = time();$payload = ["iat" => $time, // 签发时间"nbf" => $time, // 生效时间"exp" => self::exp + $time, // 失效时间"iss" => self::iss,// 签发人"aud" => self::aud,// 受众"data" => $data, // 自定义数据];return JWT::encode($payload, self::$key, self::alg);}public static function isAdmin($token){$decodeToken = self::decodeToken($token);return $decodeToken->data->role === 'admin';}public static function checkSelf($userId, $token){$decodeToken = self::decodeToken($token);return $decodeToken->data->id == $userId;}private static function decodeToken($token){try {return JWT::decode($token, new Key(self::$key, self::alg));} catch (\Exception $e) {throw new HttpResponseException(json(['code' => 401, 'msg' => 'token无效']));}}}使用JWT需要额外安装扩展
composer require firebase/php-jwt
