这篇文章主要介绍了PHP如何使用JWT做Api接口身份认证的实现，文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值，需要的朋友们下面随着小编来一起学习学习吧。

1.JWT是什么？

JWT官网 https://jwt.io

官网简介：JSON Web令牌（JWT）是一个开放标准（RFC 7519），它定义了一种紧凑且自包含的方式，用于在各方之间作为JSON对象安全地传输信息。由于此信息是经过数字签名的，因此可以被验证和信任。可以使用秘密（使用HMAC算法）或使用RSA或ECDSA的公钥/私钥对对JWT进行签名。

通常来说，JWT是一个由包含用户信息所生成的加密串，将生成的JWT加密串放入所有的请求head中，前端通过设定的秘钥加密参数，发送数据给后端，后端接收参数，按照设定的秘钥，同样加密接收参数，与前端加密参数做比对，保证请求有效并防止参数不被篡改。验证通过就进行相关的逻辑处理，否则请求算作无效请求。

2.为什么使用JWT?

传统互联网项目在实现保持登录状态、退出登录、接口请求等功能时会使用Session，但是众所周知Session数据在产生后会存储与服务器端，所以当用户量达到一定程度会相应影响到服务器的性能，且Session在前后端分离的项目中或是多服务器项目中的支持不是很好。但是Token不会产生这些问题，服务器端对Token只有生成和验证操作，不会存放数据，针对前后端分离的项目，包括手机APP和当前热门的小程序的支持都很不错，所以Token成为了用于验证的极好选择。

3.在项目中引入JWT扩展

composer require firebase/php-jwt

4.JWT具体使用步骤

在登录控制器中

1. $key = 'e10adc3949ba59abbe56e057f20f883e';//自定义秘钥，加密解密都需要用到 
2. $time = time(); //当前时间 
3. $token = [ 
4.   'iat' => $time, //签发时间 
5.   'nbf' => $time, //(Not Before)：某个时间点后才能访问，比如设置time+30，表示当前时间30秒后才能使用 
6.   'data' => [ 
7.     'userid' => 1, 
8.     'username' => 'zqw.xyz', 
9.   ]]; 
10. $jwtToken = \Firebase\JWT\JWT::encode($token, $key); 

登录成功后，将生成 token 返回给前端。前端记录该用户信息的 token ，将 token 放入 head，之后的请求中都需要 head 都需包含 token。

我们可以定义一个 AppID 和 AppSecret，同时告知前端。前端每次请求中携带 AppID ，请求参数加入一个必要参数 sign ，sign 是由所有请求参数拼接而成加密后的加密串。

注意： sign 参数值，需要加入 AppID 所需要对应 AppSecret，请求参数和后端约定相同排序规则，然后进行加密。

后端验证签名是否通过

1. $token = $request->instance()->header('token'); 
2. if(emptyempty($token)){ 
3.   abort(0, 'token验证失败'); 
4. } 
5. $appid = $request->param('appid'); 
6. if(emptyempty($appid)){ 
7.   abort(0, 'appid验证失败'); 
8. } 
9. $request_time = $request->param('request_time'); 
10. if(emptyempty($request_time)){ 
11.   abort(0,'时间戳验证失败'); 
12. } 
13. $random_number = $request->param('random_number'); 
14. if(emptyempty($random_number)){ 
15.   abort(0,'数字验证失败'); 
16. } 
17. //记录每次请求的uuid，如果uuid已存在，则该次请求无效。 
18.  
19. $request_uuid = Db::name('request')->where('uuid',$random_number)->find(); 
20. if(count($request_uuid) > 1){ 
21.   abort(0,'请求无效'); 
22. }else{ 
23.   Db::name('request')->insert([ 
24.     'uuid' => $random_number, 
25.     'add_time' => time(), 
26.     'url' => $request->baseUrl(), 
27.   ]); 
28. } 
29.  
30.  
31.  
32. $secret_type = [ 
33.   'appid1' => 'bd98e16b5eaf3e49fa2ecd3f9ee8f6ae', 
34.   'appid2' => 'b7e23061042f2799180e41d94cdbf861', 
35. ]; 
36. $secret = $secret_type[$appid]; 
37. if(emptyempty($random_number)){ 
38.   abort(0,'secret验证失败'); 
39. } 
40. $sign = $request->param('sign'); 
41. if(emptyempty($sign)){ 
42.   abort(0,'sign验证失败'); 
43. } 
44.  
45. $all_obj['secret'] = $secret; 
46. ksort($all_obj); 
47. $sign_key = ''; 
48. foreach ($all_obj as $k => $v) { 
49.   $sign_key .= $k.='='.$v.'&'; 
50. } 
51. $sign_key = substr_replace($sign_key ,"", -1); 
52. $md_sign = md5($sign_key); 
53. if($sign !== $md_sign){ 
54.   abort(0,'签名验证失败'); 
55. } 

注意： 为防止重复请求，建议由前端每次传入 uuid ，根据 uuid 请求是否重复。

6.验证通过后，进行相关的业务逻辑代码处理。

1. //  
2. $result = array( 
3.   'status' => 1, 
4.   'msg' => '获取成功', 
5.   'result' => array( 
6.   ) 
7. ); 
8. return json($result)

Tags: JWT Api PHP身份认证

分享到：