在Thinkphp中使用JWT 包括JWT是什么,JWT的优势

首先了解一下什么是JWT

JWT 是一种开放标准(RFC 7519),用于在各方之间以 JSON 对象形式安全传输信息4。其核心特点包括:

复制代码
结构:由三部分组成(Header、Payload、Signature),通过点号分隔,例如 xxxxx.yyyyy.zzzzz2。
	Header:声明加密算法和 Token 类型(如 HS256)。
	Payload:包含用户信息、注册声明(如 iss、exp)和自定义数据。
	Signature:通过密钥对前两部分签名,确保数据完整性。
用途:
	身份认证:用户登录后,服务端生成 JWT 返回客户端,客户端后续请求携带 JWT 以访问受保护资源1。

JWT的优势

  1. 无状态性

    复制代码
    优势:JWT 自身包含用户身份和权限信息,服务端无需存储会话数据(如 Session),直接通过验证 Token 签名即可完成认证。
    效果:降低服务端资源消耗,天然支持分布式系统和横向扩展。
    对比:传统 Session 需要服务端维护会话状态,多服务器场景需共享 Session 存储(如 Redis),增加复杂度。
  2. 跨域支持

    复制代码
    优势:JWT 通过 HTTP 头(如 Authorization: Bearer <token>)传递,不受 Cookie 同源策略限制。
    应用场景:适合前后端分离、跨域 API 调用及微服务架构。
    对比:Cookie 需额外配置 CORS 策略,且存在跨域限制。
  3. 安全性增强

    复制代码
    优势:防 CSRF:Token 存储在客户端而非 Cookie,避免跨站请求伪造攻击。
    防篡改:签名机制(如 HS256)确保 Token 内容完整性和来源可信。
  4. 标准化与灵活性

    复制代码
    优势:JWT 遵循 RFC 7519 标准,支持多种签名算法(如 RSA、HMAC)和自定义声明(Claims),便于集成第三方服务。
    扩展场景:单点登录(SSO)、API 网关鉴权等。

搭建JWT工具类

首先确定一些参数

php 复制代码
private static $key = '4875c029de194dd79ade2ee5aa68ee57';//密钥
private const exp = 3600;//token过期时间 1小时
private const alg = 'HS256';//加密算法
private const iss = 'ceshi';// 签发人
private const aud = 'web';// 受众   

密钥可以自己随便写,但是建议不要太简单

签发人一般是用于校验该token是不是自己的

受众一般是用于区分web和app端的

密钥可以使用下面代码生成一个

php 复制代码
public function init()
{
    $md5 = md5(time());
    return $md5;
}

生成密钥的方法

php 复制代码
public static function createToken($data)
{
   $time = time();
   $payload = [
       "iat" => $time, // 签发时间
       "nbf" => $time, // 生效时间
       "exp" => self::exp + $time, // 失效时间
       "iss" => self::iss,// 签发人
       "aud" => self::aud,// 受众
       "data" => $data, // 自定义数据
   ];
   return JWT::encode($payload, self::$key, self::alg);
}

使用样例

php 复制代码
$token = Token::createToken(['id' => '1', 'role' => 'admin']);

解析密钥并校验的方法

解析方法
php 复制代码
private static function decodeToken($token)
{
    try {
        return JWT::decode($token, new Key(self::$key, self::alg));
    } catch (\Exception $e) {
        throw new HttpResponseException(json(['code' => 401, 'msg' => 'token无效']));
    }
}
验证管理员
php 复制代码
public static function isAdmin($token)
{
    $decodeToken = self::decodeToken($token);

    return $decodeToken->data->role === 'admin';
}

使用样例

php 复制代码
if (!Token::isAdmin($token)) {
    $this->error('权限不足');
}
验证是否为本人token
php 复制代码
public static function checkSelf($userId, $token)
{
     $decodeToken = self::decodeToken($token);

     return $decodeToken->data->id == $userId;
 }

使用样例

php 复制代码
if (!Token::checkSelf($id, $token)) {
    $this->error('权限不足');
}
完整代码
php 复制代码
<?php

namespace app\common\library;//这个命名空间记得要换成自己的

use Firebase\JWT\JWT;
use Firebase\JWT\Key;
use think\exception\HttpResponseException;

class Token
{
    private static $key = '4875c029de194dd79ade2ee5aa68ee57';//密钥
    private const exp = 3600;//token过期时间 1小时
    private const alg = 'HS256';//加密算法
    private const iss = 'ceshi';// 签发人
    private const aud = 'web';// 受众

    public static function createToken($data)
    {
        $time = time();
        $payload = [
            "iat" => $time, // 签发时间
            "nbf" => $time, // 生效时间
            "exp" => self::exp + $time, // 失效时间
            "iss" => self::iss,// 签发人
            "aud" => self::aud,// 受众
            "data" => $data, // 自定义数据
        ];
        return JWT::encode($payload, self::$key, self::alg);
    }

    public static function isAdmin($token)
    {
        $decodeToken = self::decodeToken($token);

        return $decodeToken->data->role === 'admin';
    }

    public static function checkSelf($userId, $token)
    {
        $decodeToken = self::decodeToken($token);

        return $decodeToken->data->id == $userId;
    }


    private static function decodeToken($token)
    {
        try {
            return JWT::decode($token, new Key(self::$key, self::alg));
        } catch (\Exception $e) {
            throw new HttpResponseException(json(['code' => 401, 'msg' => 'token无效']));
        }
    }


}

使用JWT需要额外安装扩展

php 复制代码
composer require firebase/php-jwt
相关推荐
言之。3 小时前
别学了,打会王者吧
java·python·mysql·容器·spark·php·html5
帅云毅11 小时前
文件上传--解析漏洞和编辑器
笔记·学习·安全·web安全·编辑器·php
wt_cs11 小时前
身份证实名认证接口数字时代的信任基石-node.js实名认证集成
开发语言·node.js·php
胡译胡说15 小时前
PHP核心开发者Nikita的首次提交,就实现了个寂寞啊
php
老李不敲代码16 小时前
榕壹云预约咨询系统:基于ThinkPHP+MySQL+UniApp打造的灵活预约小程序解决方案
mysql·微信小程序·小程序·uni-app·php
fakaifa17 小时前
【最新版】西陆健身系统源码全开源+uniapp前端
前端·小程序·uni-app·开源·php·约课小程序·健身小程序
万岳软件开发小城20 小时前
基于PHP+Uniapp的互联网医院源码:电子处方功能落地方案
开发语言·uni-app·php·软件开发·互联网医院系统源码·智慧医院app
星云ai21 小时前
矩阵运营的限流问题本质上是平台与创作者之间的流量博弈
服务器·网络·php
会讲英语的码农1 天前
php基础
开发语言·后端·php
天若有情6731 天前
用 C++ 模拟 Axios 的 then 方法处理异步网络请求
网络·c++·php