JSON Web Token(JWT)是一种用于在各方之间安全传输信息的开放标准(RFC 7519)。它以紧凑且独立的方式在各方之间传输信息,可通过数字签名进行验证,确保信息的完整性和可靠性。JWT 可以在两个系统之间安全地传输声明(JSON 对象),用于身份验证和信息交换。
JWT 由三部分组成,它们使用点号 . 连接在一起:
-
Header(头部): 包含了标识令牌类型以及所使用的签名算法。例如:
json{ "alg": "HS256", "typ": "JWT" } -
Payload(负载): 包含了声明(claims)。声明是关于实体(通常是用户)和其他数据的声明。例如:
json{ "sub": "1234567890", "name": "John Doe", "iat": 1516239022 } -
Signature(签名): 用于验证头部和负载的完整性。签名由头部、负载和一个密钥组成。例如:
HMACSHA256( base64UrlEncode(header) + "." + base64UrlEncode(payload), secret )
在 PHP 中,可以使用现有的 JWT 库来处理 JWT。以下是一个使用 Firebase 的 JWT 库的简单示例:
-
安装 JWT 库: 使用 Composer 安装 Firebase JWT 库。
bashcomposer require firebase/php-jwt -
创建和验证 JWT:
php<?php require 'vendor/autoload.php'; use \Firebase\JWT\JWT; // 生成 JWT $key = 'example_key'; $payload = array( "iss" => "http://example.org", "aud" => "http://example.com", "iat" => time(), "nbf" => time() + 60, // 在 60 秒后生效 ); $jwt = JWT::encode($payload, $key); // 验证 JWT $decoded = JWT::decode($jwt, $key, array('HS256')); print_r($decoded);在上面的示例中,
$key是用于签名和验证的密钥。encode方法用于生成 JWT,而decode方法用于验证和解码 JWT。
请注意,JWT 的安全性取决于密钥的保护,因此密钥的安全存储至关重要。在生产环境中,请妥善保护密钥,以防止未经授权的访问。