如何在PHP中使用JWT進行API身份驗證-php教程-PHP中文網

如何在PHP中使用JWT進行API身份驗證

PHPz

發布： 2023-06-17 22:08:01

原創

1203 人瀏覽過

隨著Web應用程式的發展，API身分驗證已成為現代Web應用程式不可或缺的一部分。 JSON Web Token（JWT）是一種用於身份驗證和授權的開放標準，它提供了一種安全且可靠的方式來進行使用者身份驗證和實作單一登入。本文將介紹如何在PHP中使用JWT進行API驗證。

什麼是JWT？

JSON Web Token（JWT）是基於JSON格式的一種標準，它可以用於在網路上安全地傳輸訊息。 JWT通常由三個部分組成：頭部、負載和簽名。

頭（Header）：包含JWT使用的演算法，例如HMAC SHA256或RSA。
負載（Payload）：包含有關使用者、權限或其他相關資訊的資料。
簽章（Signature）：用來驗證Token的真實性和完整性。

JWT的工作流程

當使用者登入時，伺服器會指派一個JWT給使用者。這個JWT將被傳送到客戶端並保存在客戶端的Cookie或本地儲存中。當使用者想要存取受保護的API時，客戶端將JWT傳送回伺服器。伺服器將檢查JWT的簽名，並驗證負載中的資料以確保用戶有權存取API。如果JWT通過驗證，則伺服器將向使用者授權存取API。

使用PHP實作JWT身份驗證

在PHP中，我們可以使用一些流行的開源程式庫來實作JWT身份驗證。本文將使用Firebase的JWT庫，它提供了一個簡單的API來建立和驗證JWT。以下是一個簡單的範例：

安裝Firebase JWT函式庫：

composer require firebase/php-jwt

以下程式碼將建立一個JWT，其中包含一個簽章以及自訂的負載資料。

use FirebaseJWTJWT;

// Set the payload data (custom data)
$payload = [
    "user_id" => 1,
    "username" => "john.doe",
];
 
// Generate JWT using secret key
$jwt = JWT::encode($payload, 'secret_key');

登入後複製

下面的程式碼將驗證JWT的簽名，並檢查負載資料是否有效。

use FirebaseJWTJWT;

// Verify JWT using secret key
try {
    $decoded = JWT::decode($jwt, 'secret_key', array('HS256'));
} catch (Exception $e) {
    // Handle invalid JWT
}
 
// Access the payload data
$user_id = $decoded->user_id;
$username = $decoded->username;

登入後複製

在建立JWT後，我們可以將其傳送到客戶端並將其儲存在Cookie或本機儲存中。

// Set JWT as a cookie
setcookie('token', $jwt, time()+3600, '/');

登入後複製

我們可以使用與伺服器端類似的程式碼來驗證客戶端發送的JWT。

use FirebaseJWTJWT;

// Get JWT from cookie or local storage
$jwt = $_COOKIE['token'];
 
// Verify JWT using secret key
try {
    $decoded = JWT::decode($jwt, 'secret_key', array('HS256'));
} catch (Exception $e) {
    // Handle invalid JWT
}
 
// Access the payload data
$user_id = $decoded->user_id;
$username = $decoded->username;

登入後複製

總結

JWT是一種安全、可靠的身份驗證機制，適用於現代Web應用程式。使用PHP和Firebase JWT庫可以輕鬆實現JWT身份驗證。在實施API驗證時，請確保僅將JWT儲存在安全的地方，並使用HTTPS實現保護的傳輸。

以上是如何在PHP中使用JWT進行API身份驗證的詳細內容。更多資訊請關注PHP中文網其他相關文章！