一、Token概述
Token是指由服務器生成的、含有一定意義且不可偽造的加密字串,用於在用戶和服務器之間進行身份驗證或者數據傳輸,相對於Cookie和Session更加安全、靈活、可擴展。
一般情況下,Token是以JSON Web Token(JWT)的形式出現,由三部分組成:Header(頭部)、Payload(載荷)和Signature(簽名)。Header和Payload均為Base64編碼的JSON字符串,Header定義了所使用的加密算法和加密類型,Payload包含了自定義的信息,這些信息是被加密後共享給接收方的;Signature是由Header和Payload的編碼串拼接而成的字符串經過指定算法加密後生成的。
二、生成Token
在PHP中生成Token需要用到兩個函數,分別是base64_encode()和hash_hmac()。具體步驟如下:
1、生成Header
$header = [
'alg' => 'HS256', // 使用HMAC-SHA256算法,常用的還有HMAC-SHA512
'typ' => 'JWT'
];
$header = json_encode($header);
$header = base64_encode($header);
2、生成Payload
$payload = [
'iss' => 'example.com', // 簽名者
'sub' => '1234567890', // 簽名對象
'aud' => 'client_id', // 接收方
'iat' => time(), // 簽名時間
'exp' => time() + 3600 // 簽名過期時間
];
$payload = json_encode($payload);
$payload = base64_encode($payload);
3、生成Signature
$signature = hash_hmac('sha256', $header . '.' . $payload, 'secret_key', true);
$signature = base64_encode($signature);
4、生成Token
$token = $header . '.' . $payload . '.' . $signature;
三、驗證Token
驗證Token時需要用到的函數是base64_decode()和json_decode()。具體步驟如下:
1、將Token按”.”分割
$tokenArr = explode('.', $token);
$header = $tokenArr[0];
$payload = $tokenArr[1];
$signature = $tokenArr[2];
2、計算Server Signature
$serverSignature = hash_hmac('sha256', $header . '.' . $payload, 'secret_key', true);
$serverSignature = base64_encode($serverSignature);
3、檢查Signature是否相同
$isSignatureValid = hash_equals($signature, $serverSignature); // 比較時需要使用hash_equals()函數防止時序攻擊
4、解碼Payload並驗證過期時間
$payload = base64_decode($payload); $payload = json_decode($payload); $isExpired = time() > $payload->exp; // 檢查是否已經過期
四、使用Token
使用Token需要在HTTP頭部中加入Authorization字段,並將Token值作為Bearer參數傳遞。具體代碼實現如下:
$token = 'xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx';
$headers = array('Authorization: Bearer ' . $token);
$curl = curl_init();
curl_setopt($curl, CURLOPT_URL, $url);
curl_setopt($curl, CURLOPT_HTTPHEADER, $headers);
curl_exec($curl);
curl_close($curl);
五、安全注意事項
在生成和驗證Token時需要注意以下幾點:
1、密鑰絕不能明文保存在代碼中,應該通過環境變量或其他安全方式存儲;
2、一旦Token被泄露,任何人都可以模仿對應的身份訪問服務器,因此要設置有效期和刷新機制;
3、在驗證Signature時要用hash_equals()函數代替簡單的字符串比較,以防止時序攻擊;
4、為了防止重放攻擊,可以在Payload中添加諸如nonce、jti等標識符來保證Token的唯一性。
原創文章,作者:VDHEK,如若轉載,請註明出處:https://www.506064.com/zh-hant/n/362684.html
微信掃一掃 
支付寶掃一掃 