Windows 软件
Linux 软件
Mac 软件
安卓软件
各类文章

您的位置:

PHP Token生成和验证

一、Token概述

Token是指由服务器生成的、含有一定意义且不可伪造的加密字串,用于在用户和服务器之间进行身份验证或者数据传输,相对于Cookie和Session更加安全、灵活、可扩展。

一般情况下,Token是以JSON Web Token(JWT)的形式出现,由三部分组成:Header(头部)、Payload(载荷)和Signature(签名)。Header和Payload均为Base64编码的JSON字符串,Header定义了所使用的加密算法和加密类型,Payload包含了自定义的信息,这些信息是被加密后共享给接收方的;Signature是由Header和Payload的编码串拼接而成的字符串经过指定算法加密后生成的。

二、生成Token

在PHP中生成Token需要用到两个函数,分别是base64_encode()和hash_hmac()。具体步骤如下:

1、生成Header

$header = [
    'alg' => 'HS256',  // 使用HMAC-SHA256算法,常用的还有HMAC-SHA512
    'typ' => 'JWT'
];
$header = json_encode($header);
$header = base64_encode($header);

2、生成Payload

$payload = [
    'iss' => 'example.com',  // 签名者
    'sub' => '1234567890',  // 签名对象
    'aud' => 'client_id',  // 接收方
    'iat' => time(),  // 签名时间
    'exp' => time() + 3600  // 签名过期时间
];
$payload = json_encode($payload);
$payload = base64_encode($payload);

3、生成Signature

$signature = hash_hmac('sha256', $header . '.' . $payload, 'secret_key', true);
$signature = base64_encode($signature);

4、生成Token

$token = $header . '.' . $payload . '.' . $signature;

三、验证Token

验证Token时需要用到的函数是base64_decode()和json_decode()。具体步骤如下:

1、将Token按"."分割

$tokenArr = explode('.', $token);
$header = $tokenArr[0];
$payload = $tokenArr[1];
$signature = $tokenArr[2];

2、计算Server Signature

$serverSignature = hash_hmac('sha256', $header . '.' . $payload, 'secret_key', true);
$serverSignature = base64_encode($serverSignature);

3、检查Signature是否相同

$isSignatureValid = hash_equals($signature, $serverSignature);  // 比较时需要使用hash_equals()函数防止时序攻击

4、解码Payload并验证过期时间

$payload = base64_decode($payload);
$payload = json_decode($payload);
$isExpired = time() > $payload->exp;  // 检查是否已经过期

四、使用Token

使用Token需要在HTTP头部中加入Authorization字段,并将Token值作为Bearer参数传递。具体代码实现如下:

$token = 'xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx';
$headers = array('Authorization: Bearer ' . $token);
$curl = curl_init();
curl_setopt($curl, CURLOPT_URL, $url);
curl_setopt($curl, CURLOPT_HTTPHEADER, $headers);
curl_exec($curl);
curl_close($curl);

五、安全注意事项

在生成和验证Token时需要注意以下几点:

1、密钥绝不能明文保存在代码中,应该通过环境变量或其他安全方式存储;

2、一旦Token被泄露,任何人都可以模仿对应的身份访问服务器,因此要设置有效期和刷新机制;

3、在验证Signature时要用hash_equals()函数代替简单的字符串比较,以防止时序攻击;

4、为了防止重放攻击,可以在Payload中添加诸如nonce、jti等标识符来保证Token的唯一性。

PHP Token生成和验证

2023-05-21
基于php的微信token验证(php api token)

2022-11-14
java验证码生成,java随机生成验证码

2023-01-08
如何使用JWT生成和验证Token

2023-05-20
java生成验证码,java生成验证码随机数

2023-01-09
java生成验证码,java生成验证码工具类

2023-01-09
Javatoken生成和验证

2023-05-18
java验证码生成,java登录验证码怎么做

2023-01-09
php接口验证,php接口验证sign

2023-01-07
php生成表单上传token,php实现文件上传

2023-01-04
php实现登陆页面验证,php登陆页面完整代码

2023-01-03
Laravel JWT Token验证的最佳实践方法

2023-05-18
php的验证码类,PHP生成验证码

2022-11-21
php使用jwt生成token的简单介绍

2022-11-18
生成Token详解

2023-05-17
javatoken,javatoken验证

2022-12-01
java动态验证码生成(java如何生成验证码)

2022-11-14
Token的生成方式及应用

2023-05-16
phpjquery验证码,php验证码生成

2022-11-27
php验证码生成源代码,php生成验证码的方法

2022-12-02