3

PHP使用 tokent (令牌)进行登录

 2 years ago
source link: http://ukagaka.github.io/php/2018/05/08/JWT.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
neoserver,ios ssh client

1. 为什么要使用tokent进行登录

前后端分离或者为了支持多个web应用,那么原来的cookies或者session在使用上就会有很大的问题
cookie和session认证需要在同一主域名下才可以进行认证(目前可以把session存储在redis内进行解决)。

2. 解决方案

oauth2 和 jwt

jwt :是一种安全标准。基本思路就是用户提供用户名和密码给认证服务器,服务器验证用户提交信息信息的合法性;如果验证成功,会产生并返回一个token(令牌)
OAuth2 :是一个安全的授权框架。它详细描述了系统中不同角色、用户、服务前端应用(比如API),以及客户端(比如网站或移动APP)之间怎么实现相互认证。
(这里采用jwt,这种JSON Web Token 这种方式进行认证)

3. 生成方法

  1. 头部:加密类型

  2. 说明:消息内容

  3. key:一个随机码用来加密

  4. 上面三部分使用.连接起来,然后使用hs256进行加密,生成tokent

4. 详细生成方法

1). 头部通常由两部分组成:令牌的类型(即JWT)和所使用的加密算法(如:SHA256或者RSA)

{
      "alg": "HS256",
      "typ": "JWT"
}

然后,这个json被Base64Url编码,成为第一部分

2). 有效载荷是声明。声明是关于实体的部分。

{
      "exp": "1525785339",
      "sub": "1234567890",
      "name": "John Doe",
      "admin": true
}

然后将有效载荷Base64Url进行编码,成为第二部分
(PS:此信息尽管受到篡改保护,但是任何人都可以阅读。除非加密,否则不要将重要信息放在里面)

3). 使用一个加密key

4). 签名,需要使用编码后的第一部分,编码后的第二部分,然后一个关键的key。采用第一部分里的加密算法进行签名

HMACSHA256(
          base64UrlEncode(header) + "." + base64UrlEncode(payload),
          key
)

该签名用于验证消息是否有篡改。
(PHP使用crypt方法进行加密。注意:SHA-256用于防篡改,AES-256用于加密两个概念不一样)

5. token存放位置

通常应该在请求的header头中的 Authorization字段使用 Bearer模式添加JWT(Authorization: Bearer ) (当然你也可以放在任意位置,如URL后面当成一个参数传递,只要客户端能识别就行,不过既然JWT是个规范,那么我们最好还是按照规范来)

6. 使用方式

  1. 客户端用户输入用户名密码后执行登录,请求token
  2. 服务器收到请求后,使用JWT这种规范,进行生成token,返回给客户端
  3. 客户端收到token以后,解密后,验证token的时效性(token的过期时间),保存起来
  4. 客户端拿token请求数据
  5. 服务器收到token解密后,验证用户身份,验证时效性,然后验证用户
1. 无法作废已颁布的令牌(对token刷新使用期限)
2. 不易应对过期数据(支持 token 失效)

所以如果你使用了 token ,那么如果 token 被捕获到,那么就可以进行伪造进行冒充。所以如果安全比较高的话,还是建议使用oauth2

原文链接:Dennis`s blog

参考链接:
JWT官网
JSON Web Tokens (JWT) 与 Sessions


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK