实战模拟│JWT 登录认证
🎈 Token 认证流程
作为目前最流行的跨域认证解决方案,
JWT(JSON Web Token)
深受开发者的喜爱,主要流程如下:客户端发送账号和密码请求登录
服务端收到请求,验证账号密码是否通过
验证成功后,服务端会生成唯一的
token
,并将其返回给客户端客户端接受到
token
,将其存储在cookie
或者localStroge
中之后每一次客户端向服务端发送请求,都会通过
cookie
或者header
携带该token
服务端验证
token
的有效性,通过才返回响应的数据
🎈 Token 认证优点
支持跨域访问:
Cookie
是不允许跨域访问的,这一点对Token
机制是不存在的,前提是传输的用户认证信息通过HTTP
头传输无状态:
Token
机制在服务端不需要存储session
信息,因为Token
自身包含了所有登录用户的信息,只需要在客户端的cookie
或本地介质存储状态信息适用性更广: 只要是支持
http
协议的客户端,就可以使用token
认证。无需考虑 CSRF: 由于不再依赖
cookie
,所以采用token
认证方式不会发生CSRF
,所以也就无需考虑CSRF
的防御
🎈 JWT 结构
一个
JWT
实际上就是一个字符串,它由三部分组成:头部
、载荷
与签名
。中间用点.
分隔成三个部分。注意JWT
内部是没有换行的。
🎨 头部 / header
header
由两部分组成:token
的类型JWT
和算法名称:HMAC
、SHA256
、RSA
🎨 载荷 / Payload
Payload
部分也是一个JSON
对象,用来存放实际需要传递的数据。JWT
指定七个默认字段供选择。除了默认字段之外,你完全可以添加自己想要的任何字段,一般用户登录成功后,就将用户信息存放在这里
🎨 签名 / Signature
签名部分是对上面的 头部、载荷 两部分数据进行的数据签名
为了保证数据不被篡改,则需要指定一个密钥,而这个密钥一般只有你知道,并且存放在服务端
生成签名的代码一般如下:
🎈 JWT 基本使用
客户端收到服务器返回的
JWT
,可以储存在Cookie
里面, 也可以储存在localStorage
然后 客户端每次与服务器通信,都要带上这个
JWT
把
JWT
保存在Cookie
里面发送请求,这样不能跨域
更好的做法是放在
HTTP
请求的头信息Authorization
字段里面
🎈 实战:使用 JWT 登录认证
这里使用
ThinkPHP6
整合JWT
登录认证进行实战模拟🎨 安装 JWT 扩展
🎨 封装生成 JWT 和解密方法
🎨 用户登录后,生成 JWT 标识
🎨 中间件验证用户是否登录
在
middleware.php
注册中间件
注册中间件后,在权限验证中间件中完善验证逻辑
版权声明: 本文为 InfoQ 作者【极客飞兔】的原创文章。
原文链接:【http://xie.infoq.cn/article/8758dfa26f2914ef4366ee9d8】。未经作者许可,禁止转载。
评论