您的位置:

PHP Token生成和验证

一、Token概述

Token是指由服务器生成的、含有一定意义且不可伪造的加密字串,用于在用户和服务器之间进行身份验证或者数据传输,相对于Cookie和Session更加安全、灵活、可扩展。

一般情况下,Token是以JSON Web Token(JWT)的形式出现,由三部分组成:Header(头部)、Payload(载荷)和Signature(签名)。Header和Payload均为Base64编码的JSON字符串,Header定义了所使用的加密算法和加密类型,Payload包含了自定义的信息,这些信息是被加密后共享给接收方的;Signature是由Header和Payload的编码串拼接而成的字符串经过指定算法加密后生成的。

二、生成Token

在PHP中生成Token需要用到两个函数,分别是base64_encode()和hash_hmac()。具体步骤如下:

1、生成Header

$header = [
    'alg' => 'HS256',  // 使用HMAC-SHA256算法,常用的还有HMAC-SHA512
    'typ' => 'JWT'
];
$header = json_encode($header);
$header = base64_encode($header);

2、生成Payload

$payload = [
    'iss' => 'example.com',  // 签名者
    'sub' => '1234567890',  // 签名对象
    'aud' => 'client_id',  // 接收方
    'iat' => time(),  // 签名时间
    'exp' => time() + 3600  // 签名过期时间
];
$payload = json_encode($payload);
$payload = base64_encode($payload);

3、生成Signature

$signature = hash_hmac('sha256', $header . '.' . $payload, 'secret_key', true);
$signature = base64_encode($signature);

4、生成Token

$token = $header . '.' . $payload . '.' . $signature;

三、验证Token

验证Token时需要用到的函数是base64_decode()和json_decode()。具体步骤如下:

1、将Token按"."分割

$tokenArr = explode('.', $token);
$header = $tokenArr[0];
$payload = $tokenArr[1];
$signature = $tokenArr[2];

2、计算Server Signature

$serverSignature = hash_hmac('sha256', $header . '.' . $payload, 'secret_key', true);
$serverSignature = base64_encode($serverSignature);

3、检查Signature是否相同

$isSignatureValid = hash_equals($signature, $serverSignature);  // 比较时需要使用hash_equals()函数防止时序攻击

4、解码Payload并验证过期时间

$payload = base64_decode($payload);
$payload = json_decode($payload);
$isExpired = time() > $payload->exp;  // 检查是否已经过期

四、使用Token

使用Token需要在HTTP头部中加入Authorization字段,并将Token值作为Bearer参数传递。具体代码实现如下:

$token = 'xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx';
$headers = array('Authorization: Bearer ' . $token);
$curl = curl_init();
curl_setopt($curl, CURLOPT_URL, $url);
curl_setopt($curl, CURLOPT_HTTPHEADER, $headers);
curl_exec($curl);
curl_close($curl);

五、安全注意事项

在生成和验证Token时需要注意以下几点:

1、密钥绝不能明文保存在代码中,应该通过环境变量或其他安全方式存储;

2、一旦Token被泄露,任何人都可以模仿对应的身份访问服务器,因此要设置有效期和刷新机制;

3、在验证Signature时要用hash_equals()函数代替简单的字符串比较,以防止时序攻击;

4、为了防止重放攻击,可以在Payload中添加诸如nonce、jti等标识符来保证Token的唯一性。