一、Token概述
Token是指由服务器生成的、含有一定意义且不可伪造的加密字串,用于在用户和服务器之间进行身份验证或者数据传输,相对于Cookie和Session更加安全、灵活、可扩展。
一般情况下,Token是以JSON Web Token(JWT)的形式出现,由三部分组成:Header(头部)、Payload(载荷)和Signature(签名)。Header和Payload均为Base64编码的JSON字符串,Header定义了所使用的加密算法和加密类型,Payload包含了自定义的信息,这些信息是被加密后共享给接收方的;Signature是由Header和Payload的编码串拼接而成的字符串经过指定算法加密后生成的。
二、生成Token
在PHP中生成Token需要用到两个函数,分别是base64_encode()和hash_hmac()。具体步骤如下:
1、生成Header
$header = [ 'alg' => 'HS256', // 使用HMAC-SHA256算法,常用的还有HMAC-SHA512 'typ' => 'JWT' ]; $header = json_encode($header); $header = base64_encode($header);
2、生成Payload
$payload = [ 'iss' => 'example.com', // 签名者 'sub' => '1234567890', // 签名对象 'aud' => 'client_id', // 接收方 'iat' => time(), // 签名时间 'exp' => time() + 3600 // 签名过期时间 ]; $payload = json_encode($payload); $payload = base64_encode($payload);
3、生成Signature
$signature = hash_hmac('sha256', $header . '.' . $payload, 'secret_key', true); $signature = base64_encode($signature);
4、生成Token
$token = $header . '.' . $payload . '.' . $signature;
三、验证Token
验证Token时需要用到的函数是base64_decode()和json_decode()。具体步骤如下:
1、将Token按"."分割
$tokenArr = explode('.', $token); $header = $tokenArr[0]; $payload = $tokenArr[1]; $signature = $tokenArr[2];
2、计算Server Signature
$serverSignature = hash_hmac('sha256', $header . '.' . $payload, 'secret_key', true); $serverSignature = base64_encode($serverSignature);
3、检查Signature是否相同
$isSignatureValid = hash_equals($signature, $serverSignature); // 比较时需要使用hash_equals()函数防止时序攻击
4、解码Payload并验证过期时间
$payload = base64_decode($payload); $payload = json_decode($payload); $isExpired = time() > $payload->exp; // 检查是否已经过期
四、使用Token
使用Token需要在HTTP头部中加入Authorization字段,并将Token值作为Bearer参数传递。具体代码实现如下:
$token = 'xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx'; $headers = array('Authorization: Bearer ' . $token); $curl = curl_init(); curl_setopt($curl, CURLOPT_URL, $url); curl_setopt($curl, CURLOPT_HTTPHEADER, $headers); curl_exec($curl); curl_close($curl);
五、安全注意事项
在生成和验证Token时需要注意以下几点:
1、密钥绝不能明文保存在代码中,应该通过环境变量或其他安全方式存储;
2、一旦Token被泄露,任何人都可以模仿对应的身份访问服务器,因此要设置有效期和刷新机制;
3、在验证Signature时要用hash_equals()函数代替简单的字符串比较,以防止时序攻击;
4、为了防止重放攻击,可以在Payload中添加诸如nonce、jti等标识符来保证Token的唯一性。