API安全驗證之JWT(JSON WEB TOKEN) OLCMS

阿新 • • 發佈：2018-10-31

假如`www.olcms.com/getUserInfo`獲取使用者資訊,你怎麼知道當前使用者是誰?有人說登陸時候我把他`UID`寫入`session`了,如果是API介面,沒有`session`怎麼辦,那麼就需要把`UID`帶到引數裡面,如果直接帶裡面,安全怎麼辦?所以我們需要加密成別人看不懂的字串,這就是`JWT(JSON WEB TOKEN)`,你可以把它理解為微信SDK中的`access token`(其實本身就是一樣的東西).JWT加密和解密你自己寫也行,不過沒有必要重複造輪子,我們在`github`上搜一下`jwt`,我搜到一個`lcobucci/jwt`,看起來用的人也挺多,好,下來我們大概用tp來演示下

下載tp3.2.3

安裝`lcobucci/jwt`

新建`composer.json`

    {
    "name": "olcms jwt demo",
    "description": "just a jwt demo with tp",
    "type": "demo",
    "keywords": ["jwt","tp"],
    "homepage": "https://www.olcms.com/",
    "license": "Apache2",
    "authors": [
        {
            "name": "olcms",
            "email": " 
[email protected]"
        }
    ],
    "require": {
        "lcobucci/jwt" : "*"
    }
}

composer update composer安裝看 https://www.olcms.com/2015

開啟`index.php`,在載入tp前載入`comoposer`的自動載入

//composer
require 'vendor/autoload.php';

// 引入ThinkPHP入口檔案
require './ThinkPHP/ThinkPHP.php';

生成和使用jwt

`IndexController.class.php`

namespace Home\Controller;

use Think\Controller;
use Lcobucci\JWT\Builder;

class IndexController extends Controller {

    public function index(){
        $token = (new Builder())
                        ->set('uid', 1) // Configures a new claim, called "uid"
                        ->getToken(); // Retrieves the generated token
        echo $token; // The string representation of the object is a JWT string (pretty easy, right?)
    }

}

瀏覽器訪問,我們看到生成的jwt`eyJ0eXAiOiJKV1QiLCJhbGciOiJub25lIn0.eyJ1aWQiOjF9.`重新整理一下,發現什麼?沒變,恩，不夠安全，我們再修改下程式碼

namespace Home\Controller;

use Think\Controller;
use Lcobucci\JWT\Builder;
use Lcobucci\JWT\Signer\Hmac\Sha256;

class IndexController extends Controller {

    public function index(){
        $signer = new Sha256();
        $token = (new Builder())
                        ->set('uid', 1) // Configures a new claim, called "uid"
                        ->setExpiration(time() + 3600)
                        ->sign($signer, 'olcms') // creates a signature using "testing" as key
                        ->getToken(); // Retrieves the generated token
        echo $token; // The string representation of the object is a JWT string (pretty easy, right?)
    }

}

生成的jwteyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1aWQiOjEsImV4cCI6MTQ2MDYwNjk0Mn0.GdbEXStqQR-5zofQVmorrB4U3yuyCYDdX-jFu58dPpY每次重新整理也變- -

從jwt中獲取資訊

namespace Home\Controller;

use Think\Controller;
use Lcobucci\JWT\Builder;
use Lcobucci\JWT\Signer\Hmac\Sha256;
use Lcobucci\JWT\Parser;

class IndexController extends Controller {

    public function index(){
        $signer = new Sha256();
        $token = (new Builder())
                        ->set('uid', 1) // Configures a new claim, called "uid"
                        ->setExpiration(time() + 3600)
                        ->sign($signer, 'olcms') // creates a signature using "testing" as key
                        ->getToken(); // Retrieves the generated token
        echo $token; // The string representation of the object is a JWT string (pretty easy, right?)

        //從jwt獲取資訊
        $token = (new Parser())->parse((string) $token); // Parses from a string
        echo $token->getClaim('uid'); // will print "1"
    }

}

大概邏輯

使用者登入,伺服器生成jwt,放入memcache等快取並返回jwt,client所有請求都必須帶jwt

API安全驗證之JWT(JSON WEB TOKEN) OLCMS

假如www.olcms.com/getUserInfo獲取使用者資訊,你怎麼知道當前使用者是誰?有人說登陸時候我把他UID寫入session了,如果是API介面,沒有session怎麼辦,那麼就需要把UID帶到引數裡面,如果直接帶裡面,安全怎麼辦?所以我們需要加密成別人看不懂的字串,這就是JWT(JSON W

Spring Boot實戰之Filter實現使用JWT進行介面認證 jwt(json web token) 使用者傳送按照約定，向服務端傳送 Header、Payload 和 Signature，

Spring Boot實戰之Filter實現使用JWT進行介面認證 jwt(json web token) 使用者傳送按照約定，向服務端傳送 Header、Payload 和 Signature，幷包含認證資訊（密碼），驗證通過後服務端返回一個token,之後使用者使用該

JWT--JSON WEB TOKEN

hmac 授權消費者隨著相關數據 cors 服務器端容易轉自簡書 http://www.jianshu.com/p/576dbf44b2ae 什麽是JWT Json web token (JWT), 是為了在網絡應用環境間傳遞聲明而執行的一種基於JSON的開放標

JWT(JSON WEB TOKEN) / oauth2 / SSL

bash 字符維護 ssl 信息簡單角色 ron 保存會話 1: JWT: 　　為了在網絡應用環境間傳遞聲明而執行的一種基於JSON的開放標準（(RFC 7519).該token被設計為緊湊且安全的，特別適用於分布式站點的單點登錄（SSO）場景。JWT的聲明一般被用來

JWT JSON Web Token

bubuko 可靠的分組使用 dig pan alt 可靠 stringify JWT(JSON Web Token) 允許我們使用JWT在用戶和服務器之間傳遞安全可靠的信息的規範。 JWT由三個部分組成：header（頭部）、payload（載荷）、signature

深入淺出JWT(JSON Web Token )

sha 安全 nature 調試器 orm 攔截們的登錄長度限制 1. JWT 介紹 JSON Web Token（JWT）是一個開放式標準（RFC 7519），它定義了一種緊湊（Compact）且自包含（Self-contained）的方式，用於在各方之間以JSON

[認證授權] 2.OAuth2授權（續） & JWT(JSON Web Token)

har 表示一個 wii body 是什麽 ibm 其他 user 1 RFC6749還有哪些可以完善的？ 1.1 撤銷Token 在上篇[認證授權] 1.OAuth2授權中介紹到了OAuth2可以幫我們解決第三方Client訪問受保護資源的問題，但是只提供了如何獲

Go實戰--golang中使用JWT(JSON Web Token)

今天就來跟大家簡單介紹一下golang中如何使用token，當然是要依賴一下github上的優秀的開源庫了。首先，要搞明白一個問題，token、cookie、session的區別。 token、cookie、session的區別Cookie Cookie總是儲存在客戶端中，按在

什麼是 JWT -- JSON WEB TOKEN

什麼是JWT Json web token (JWT), 是為了在網路應用環境間傳遞宣告而執行的一種基於JSON的開放標準（(RFC 7519).該token被設計為緊湊且安全的，特別適用於分散式站點的單點登入（SSO）場景。JWT的宣告一般被用來在身份提供者和服務提供者間傳遞被認證的使用者身份資訊，

[認證授權] 2.OAuth2授權（續） & JWT(JSON Web Token)

1 RFC6749還有哪些可以完善的？ 1.1 撤銷Token 在上篇[認證授權] 1.OAuth2授權中介紹到了OAuth2可以幫我們解決第三方Client訪問受保護資源的問題，但是隻提供瞭如何獲得access_token，並未說明怎麼來撤銷一個access_token。關於這部分OAuth2單獨定義

JWT(JSON Web Token)原理簡介

oem 相關部分 bsp process post tis 輸入檢查原文：http://www.fengchang.cc/post/114 參考了一下這篇文章:https://medium.com/vandium-software/5-easy-ste

ASP.NET Web API（三）：安全驗證之使用摘要認證(digest authentication)

在前一篇文章中，主要討論了使用HTTP基本認證的方法，因為HTTP基本認證的方式決定了它在安全性方面存在很大的問題，所以接下來看看另一種驗證的方式：digest authentication，即摘要認證。系列文章列表摘要認證原理在基本認證的方式中，主要的安全問題來自於使用者資訊的明文傳輸，而

ASP.NET Web API（二）：安全驗證之使用HTTP基本認證

在前一篇文章ASP.NET Web API（一）：使用初探，GET和POST資料中，我們初步接觸了微軟的REST API: Web API。我們在接觸了Web API的後就立馬發現了有安全驗證的需求，所以這篇文章我們先來討論下安全驗證一個最簡單的方法：使用HTTP基本

什麽是JWT（JSON WEB TOKEN）

加密 string style 直接協議策略 ade aud images 什麽是JWT Json web token（JWT）是為了網絡應用環境間傳遞聲明而執行的一種基於JSON的開發標準（RFC 7519），該token被設計為緊湊且安全的，特別適用於分

Json Web Token（JWT）

.json import form hid color 執行加密方法 isa dep Json web token (JWT)，是為了在網絡應用環境間傳遞聲明而執行的一種基於JSON的開放標準（(RFC 7519)。該token被設計為緊湊且安全的，特別適用於分布式站點的

JWT （JSON WEB Token）正確使用場景

頁面包含 eth token 生成 example 各類場景 bottom container https://www.jianshu.com/p/af8360b83a9f 講真，別再使用JWT了！ ThoughtWorks中國 2017.08.16 08

Json Web Token(JWT)詳解

再次即使設備系統客戶利用 fck 第三方服務 ont 什麽是Json Web Token Json web token (JWT), 是為了在網絡應用環境間傳遞聲明而執行的一種基於JSON的開放標準（(RFC 7519).該token被設計為緊湊且安全的，特別

理解JWT（JSON Web Token）認證及python實踐

原文：https://segmentfault.com/a/1190000010312468?utm_source=tag-newest 幾種常用的認證機制 HTTP Basic Auth HTTP Basic Auth 在HTTP中，基本認證是一種用來允許Web瀏覽器或其他客戶端程式在請求時

JWT（Json Web Token）框架 jjwt 教程

JSON Web Token（JWT）是一個非常輕巧的規範。這個規範允許我們使用JWT在使用者和伺服器之間傳遞安全可靠的資訊。和 Cookie-Session 的模式不同，JSON Web Token（JWT）使用 Token 替換了 SessionId 的資源訪問和狀態的保持。基於JWT

基於 Token 的身份驗證：JSON Web Token

最近了解下基於 Token 的身份驗證，跟大夥分享下。很多大型網站也都在用，比如 Facebook，Twitter，Google+，Github 等等，比起傳統的身份驗證方法，Token 擴充套件性更強

API安全驗證之JWT(JSON WEB TOKEN) OLCMS

下載tp3.2.3

安裝lcobucci/jwt

新建composer.json

開啟index.php,在載入tp前載入comoposer的自動載入

生成和使用jwt

IndexController.class.php

瀏覽器訪問,我們看到生成的jwteyJ0eXAiOiJKV1QiLCJhbGciOiJub25lIn0.eyJ1aWQiOjF9.重新整理一下,發現什麼?沒變,恩，不夠安全，我們再修改下程式碼

從jwt中獲取資訊

大概邏輯

使用者登入,伺服器生成jwt,放入memcache等快取並返回jwt,client所有請求都必須帶jwt

相關推薦

安裝`lcobucci/jwt`

新建`composer.json`

開啟`index.php`,在載入tp前載入`comoposer`的自動載入

`IndexController.class.php`

瀏覽器訪問,我們看到生成的jwt`eyJ0eXAiOiJKV1QiLCJhbGciOiJub25lIn0.eyJ1aWQiOjF9.`重新整理一下,發現什麼?沒變,恩，不夠安全，我們再修改下程式碼