投稿
  1. 簡單一點首頁
  2. 編程

PHP Token生成和驗證

VDHEK 編程

一、Token概述

Token是指由伺服器生成的、含有一定意義且不可偽造的加密字串,用於在用戶和伺服器之間進行身份驗證或者數據傳輸,相對於Cookie和Session更加安全、靈活、可擴展。

一般情況下,Token是以JSON Web Token(JWT)的形式出現,由三部分組成:Header(頭部)、Payload(載荷)和Signature(簽名)。Header和Payload均為Base64編碼的JSON字元串,Header定義了所使用的加密演算法和加密類型,Payload包含了自定義的信息,這些信息是被加密後共享給接收方的;Signature是由Header和Payload的編碼串拼接而成的字元串經過指定演算法加密後生成的。

二、生成Token

在PHP中生成Token需要用到兩個函數,分別是base64_encode()和hash_hmac()。具體步驟如下:

1、生成Header

$header = [
    'alg' => 'HS256',  // 使用HMAC-SHA256演算法,常用的還有HMAC-SHA512
    'typ' => 'JWT'
];
$header = json_encode($header);
$header = base64_encode($header);

2、生成Payload

$payload = [
    'iss' => 'example.com',  // 簽名者
    'sub' => '1234567890',  // 簽名對象
    'aud' => 'client_id',  // 接收方
    'iat' => time(),  // 簽名時間
    'exp' => time() + 3600  // 簽名過期時間
];
$payload = json_encode($payload);
$payload = base64_encode($payload);

3、生成Signature

$signature = hash_hmac('sha256', $header . '.' . $payload, 'secret_key', true);
$signature = base64_encode($signature);

4、生成Token

$token = $header . '.' . $payload . '.' . $signature;

三、驗證Token

驗證Token時需要用到的函數是base64_decode()和json_decode()。具體步驟如下:

1、將Token按”.”分割

$tokenArr = explode('.', $token);
$header = $tokenArr[0];
$payload = $tokenArr[1];
$signature = $tokenArr[2];

2、計算Server Signature

$serverSignature = hash_hmac('sha256', $header . '.' . $payload, 'secret_key', true);
$serverSignature = base64_encode($serverSignature);

3、檢查Signature是否相同

$isSignatureValid = hash_equals($signature, $serverSignature);  // 比較時需要使用hash_equals()函數防止時序攻擊

4、解碼Payload並驗證過期時間

$payload = base64_decode($payload);
$payload = json_decode($payload);
$isExpired = time() > $payload->exp;  // 檢查是否已經過期

四、使用Token

使用Token需要在HTTP頭部中加入Authorization欄位,並將Token值作為Bearer參數傳遞。具體代碼實現如下:

$token = 'xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx';
$headers = array('Authorization: Bearer ' . $token);
$curl = curl_init();
curl_setopt($curl, CURLOPT_URL, $url);
curl_setopt($curl, CURLOPT_HTTPHEADER, $headers);
curl_exec($curl);
curl_close($curl);

五、安全注意事項

在生成和驗證Token時需要注意以下幾點:

1、密鑰絕不能明文保存在代碼中,應該通過環境變數或其他安全方式存儲;

2、一旦Token被泄露,任何人都可以模仿對應的身份訪問伺服器,因此要設置有效期和刷新機制;

3、在驗證Signature時要用hash_equals()函數代替簡單的字元串比較,以防止時序攻擊;

4、為了防止重放攻擊,可以在Payload中添加諸如nonce、jti等標識符來保證Token的唯一性。

原創文章,作者:VDHEK,如若轉載,請註明出處:https://www.506064.com/zh-tw/n/362684.html

(0)
打賞 微信掃一掃 微信掃一掃 支付寶掃一掃 支付寶掃一掃
VDHEK的頭像VDHEK
0 0
上一篇 2025-02-27 19:28
下一篇 2025-02-27 19:31

相關推薦

  • PHP和Python哪個好找工作?

    PHP和Python都是非常流行的編程語言,它們被廣泛應用於不同領域的開發中。但是,在考慮擇業方向的時候,很多人都會有一個問題:PHP和Python哪個好找工作?這篇文章將從多個方…

    FCLTL的頭像 FCLTL
    編程 2025-04-29

  • PHP怎麼接幣

    想要在自己的網站或應用中接受比特幣等加密貨幣的支付,就需要對該加密貨幣擁有一定的了解,並使用對應的API進行開發。本文將從多個方面詳細闡述如何使用PHP接受加密貨幣的支付。 一、環…

    AUXNK的頭像 AUXNK
    編程 2025-04-29

  • JWT驗證Token的實現

    本文將從以下幾個方面對JWT驗證Token進行詳細的闡述,包括:JWT概述、JWT驗證Token的意義、JWT驗證Token的過程、JWT驗證Token的代碼實現、JWT驗證Tok…

    GTAMQ的頭像 GTAMQ
    編程 2025-04-29

  • 使用PHP foreach遍歷有相同屬性的值

    本篇文章將介紹如何使用PHP foreach遍歷具有相同屬性的值,並給出相應的代碼示例。 一、基礎概念 在講解如何使用PHP foreach遍歷有相同屬性的值之前,我們需要先了解幾…

    ATMUX的頭像 ATMUX
    編程 2025-04-28

  • PHP獲取301跳轉後的地址

    本文將為大家介紹如何使用PHP獲取301跳轉後的地址。301重定向是什麼呢?當我們訪問一個網頁A,但是它已經被遷移到了另一個地址B,此時若伺服器端做了301重定向,那麼你的瀏覽器在…

    WIAMR的頭像 WIAMR
    編程 2025-04-27

  • 如何通過knife4j設置全局token

    本文將介紹如何在使用knife4j作為介面文檔管理工具時,通過設置全局token來提高介面文檔的安全性。 一、什麼是knife4j Knife4j是一款基於springfox的開源…

    VOIAW的頭像 VOIAW
    編程 2025-04-27

  • PHP登錄頁面代碼實現

    本文將從多個方面詳細闡述如何使用PHP編寫一個簡單的登錄頁面。 1. PHP登錄頁面基本架構 在PHP登錄頁面中,需要包含HTML表單,用戶在表單中輸入賬號密碼等信息,提交表單後服…

    AEORB的頭像 AEORB
    編程 2025-04-27

  • PHP與Python的比較

    本文將會對PHP與Python進行比較和對比分析,包括語法特性、優缺點等方面。幫助讀者更好地理解和使用這兩種語言。 一、語法特性 PHP語法特性: <?php // 簡單的P…

    AVHIK的頭像 AVHIK
    編程 2025-04-27

  • PHP版本管理工具phpenv詳解

    在PHP項目開發過程中,我們可能需要用到不同版本的PHP環境來試驗不同的功能或避免不同版本的兼容性問題。或者我們需要在同一台伺服器上同時運行多個不同版本的PHP語言。但是每次手動安…

    GSFVA的頭像 GSFVA
    編程 2025-04-24

  • PHP數組去重詳解

    一、array_unique函數 array_unique是php中常用的數組去重函數,它基於值來判斷元素是否重複,具體使用方法如下: $array = array(‘a’, ‘b…

    ZSCAN的頭像 ZSCAN
    編程 2025-04-24

發表回復

登錄後才能評論