设为首页收藏本站
切换到宽版

 找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
XiXingWL»首页 .NET PHP lcobucci/jwt 刷新验证 双Token封装
返回列表 发新帖
查看: 134|回复: 0

[php] lcobucci/jwt 刷新验证 双Token封装

[复制链接] IP属地:广东省广州市
admin
发表于 2023-7-5 23:10:11 | 显示全部楼层 |阅读模式
为避免在使用JWT的时候,Token过期后,会自动退出系统回到登录页面,最好是采用双Token的机制;具体过程简单描述一下:
  • 用户登录,系统返回两个令牌,AccessToken和RefreshToken,AccessToken是资源访问令牌,有效期较短;RefreshToken是刷新令牌,有效期较长。
  • 用户通过自动在Header传递AccessToken。申请资源访问,直到AccessToken过期。
  • AccessToken过期后,前端自动使用RefreshToken向服务器申请新的AccessToken
  • 客户端使用新的AccessToken请求资源,直到RefreshToken失效

  1. <?php


  4. namespace utils;

  6. use Lcobucci\Clock\SystemClock;
  7. use Lcobucci\JWT\Configuration;
  8. use Lcobucci\JWT\Signer\Key\InMemory;
  9. use Lcobucci\JWT\Signer\Hmac\Sha256;
  10. use Lcobucci\JWT\UnencryptedToken;
  11. use Lcobucci\JWT\Validation\Constraint\IssuedBy;
  12. use Lcobucci\JWT\Validation\Constraint\PermittedFor;
  13. use Lcobucci\JWT\Validation\Constraint\SignedWith;
  14. use Lcobucci\JWT\Validation\Constraint\StrictValidAt;
  15. use Lcobucci\JWT\Validation\RequiredConstraintsViolated;
  16. use think\exception\ValidateException;

  18. class Jwt
  19. {
  20.     protected $issuedBy = 'rds.server';
  21.     protected $permittedFor = 'rds.client';
  22.     protected $issuedAt;
  23.     protected $expiresAtAccess;
  24.     protected $expiresAtRefresh;
  25.     protected $secrect = 'aHR0cDovL3Jkcy5yYWlzZWluZm8uY24=';

  27.     public function __construct()
  28.     {
  29.         config('system.jwt_issued_by')          ? $this->issuedBy = config('system.jwt_issued_by') : null;
  30.         config('system.jwt_permitted_for')      ? $this->permittedFor = config('system.jwt_permitted_for') : null;
  31.         config('system.jwt_secrect')            ? $this->secrect = config('system.jwt_secrect') : null;
  32.         $this->issuedAt = new \DateTimeImmutable();
  33.         $this->expiresAtAccess = $this->issuedAt->modify(config('system.jwt_expires_at_access') ? config('system.jwt_expires_at_access') : '+1 minute');
  34.         $this->expiresAtRefresh = $this->issuedAt->modify(config('system.jwt_expires_at_refresh') ? config('system.jwt_expires_at_refresh') : '+5 minute');
  35.     }

  37.     /**
  38.      * 生成Jwt配置对象
  39.      * @return Configuration
  40.      */
  41.     private function createJwt(){
  42.         return Configuration::forSymmetricSigner(new Sha256(),InMemory::base64Encoded($this->secrect));
  43.     }

  45.     /**
  46.      * 生成Token
  47.      * @param array $bind 必须存在字段 uid
  48.      * @param string $type
  49.      * @return string
  50.      */
  51.     public function getToken(array $bind=[], $type = 'Access'){
  52.         $config = $this->createJwt();
  53.         $builder = $config->builder();
  54.         // 访问Token可以携带用户信息,刷新Token只携带用户编号
  55.         if(is_array($bind) && !empty($bind)){
  56.             foreach ($bind as $k => $v){
  57.                 $builder->withClaim($k,$v);
  58.             }
  59.             $builder->withClaim('scopes',$type == 'Access' ? 'Access' : 'Refresh');
  60.         }
  61.         $token = $builder
  62.             ->issuedBy($this->issuedBy)
  63.             ->permittedFor($this->permittedFor)
  64.             ->issuedAt($this->issuedAt)
  65.             ->canOnlyBeUsedAfter($this->issuedAt->modify('+1 second'))
  66.             ->expiresAt($type == 'Access' ? $this->expiresAtAccess : $this->expiresAtRefresh)
  67.             ->getToken($config->signer(),$config->signingKey());
  68.         return $token->toString();
  69.     }

  71.     /**
  72.      * 校验Token
  73.      * @param $token
  74.      * @return bool
  75.      */
  76.     public function verify($token){
  77.         $config = $this->createJwt();
  78.         try {
  79.             $token = $config->parser()->parse($token);
  80.             assert($token instanceof UnencryptedToken);
  81.         } catch (\Exception $e){
  82.             \think\facade\Log::error('令牌解析失败[1]:'.$e->getMessage());
  83.             return ['status'=>1,'msg'=>'令牌解析错误'];
  84.         }

  86.         // 验证签发端是否匹配
  87.         $validate_issued = new IssuedBy($this->issuedBy);
  88.         $config->setValidationConstraints($validate_issued);
  89.         $constraints = $config->validationConstraints();
  90.         try {
  91.             $config->validator()->assert($token,...$constraints);
  92.         } catch (RequiredConstraintsViolated $e){
  93.             \think\facade\Log::error('令牌验证失败[2]:' . $e->getMessage());
  94.             return ['status'=>2,'msg'=>'签发错误'];
  95.         }

  97.         //验证客户端是否匹配
  98.         $validate_permitted_for = new PermittedFor($this->permittedFor);
  99.         $config->setValidationConstraints($validate_permitted_for);
  100.         $constraints = $config->validationConstraints();
  101.         try {
  102.             $config->validator()->assert($token,...$constraints);
  103.         } catch (RequiredConstraintsViolated $e){
  104.             \think\facade\Log::error('令牌验证失败[3]:' . $e->getMessage());
  105.             return ['status'=>3,'msg'=>'客户端错误'];
  106.         }

  108.         // 验证是否过期
  109.         $timezone = new \DateTimeZone('Asia/Shanghai');
  110.         $time = new SystemClock($timezone);
  111.         $validate_exp = new StrictValidAt($time);
  112.         $config->setValidationConstraints($validate_exp);
  113.         $constraints = $config->validationConstraints();
  114.         try {
  115.             $config->validator()->assert($token,...$constraints);
  116.         } catch (RequiredConstraintsViolated $e){
  117.             \think\facade\Log::error('令牌验证失败[4]:' . $e->getMessage());
  118.             return ['status'=>4,'msg'=>'已过期'];
  119.         }

  121.         // 验证令牌是否已使用预期的签名者和密钥签名
  122.         $validate_signed = new SignedWith(new Sha256(),InMemory::base64Encoded($this->secrect));
  123.         $config->setValidationConstraints($validate_signed);
  124.         $constraints = $config->validationConstraints();
  125.         try {
  126.             $config->validator()->assert($token,...$constraints);
  127.         } catch (RequiredConstraintsViolated $e){
  128.             \think\facade\Log::error('令牌验证失败[5]:' . $e->getMessage());
  129.             return ['status'=>5,'msg'=>'签名错误'];
  130.         }

  132.         return ['status'=>0,'msg'=>'验证通过'];
  133.     }

  135.     /**
  136.      * 获取token的载体内容
  137.      * @param $token
  138.      * @return mixed
  139.      */
  140.     public function getTokenContent($token){
  141.         $config = $this->createJwt();
  142.         try {
  143.             $decode_token = $config->parser()->parse($token);
  144.             $claims = json_decode(base64_decode($decode_token->claims()->toString()),true);
  145.         } catch (\Exception $e){
  146.             throw new ValidateException($e->getMessage());
  147.         }
  148.         return $claims;
  149.     }

  151. }
复制代码
配套配置文件:config/jwt.php

  1. <?php
  2. // +----------------------------------------------------------------------
  3. // | 系统设置
  4. // +----------------------------------------------------------------------

  6. return [
  7.     // 密码加密
  8.     'password_secrect'          => 'Rapid_Development_System',
  9.     // 是否开启验证码
  10.     'verify_status'             => false,
  11.     // JWT配置
  12.     'jwt_issued_by'             => 'rds.server',
  13.     'jwt_permitted_for'         => 'rds.client',
  14.     'jwt_secrect'               => 'aHR0cDovL3Jkcy5yYWlzZWluZm8uY24=',
  15.     'jwt_expires_at_access'     => '+5 minute',
  16.     'jwt_expires_at_refresh'    => '+30 minute',
  17.   ];
复制代码
测试类文件:jwtTest.php

  1. <?php


  4. namespace app\controller;

  6. use app\BaseController;
  7. use utils\Jwt;

  9. class JwtTest extends BaseController
  10. {
  11.     public function index()
  12.     {
  13.         return '';
  14.     }

  16.     /**
  17.      * 创建Token
  18.      * @return \think\response\Json
  19.      */
  20.     public function getToken(){
  21.         $type = $this->request->param('type','Access');
  22.         $jwt = new Jwt();
  23.         $token = $jwt->getToken(['uid'=>1],$type);
  24.         return json(['status'=>200,'data'=>$token]);
  25.     }

  27.     /**
  28.      * 提取Token内容
  29.      * @return \think\response\Json
  30.      */
  31.     public function getContent(){
  32.         $token = $this->request->header('AccessToken');
  33.         if($token){
  34.             $jwt = new Jwt();
  35.             $content = $jwt->getTokenContent($token);
  36.         } else {
  37.             $content = '无有效令牌';
  38.         }
  39.         return json(['status'=>200,'data'=>$content]);
  40.     }

  42.     /**
  43.      * 验证令牌
  44.      * @return \think\response\Json
  45.      */
  46.     public function verifyToken(){
  47.         $token = $this->request->header('AccessToken');
  48.         if($token){
  49.             $jwt = new Jwt();
  50.             $content = $jwt->verify($token);
  51.         } else {
  52.             $content = '无有效令牌';
  53.         }
  54.         return json(['status'=>200,'data'=>$content['msg']]);
  55.     }

  57.     /**
  58.      * 登录后生成访问令牌和刷新令牌
  59.      * @return \think\response\Json
  60.      */
  61.     public function getTokens(){
  62.         $jwt = new Jwt();
  63.         $payload = [
  64.             'uid' => [
  65.                 'user_id'   => 100,
  66.                 'username'  => 'Tome',
  67.                 'sex'       => 2,
  68.             ]
  69.         ];
  70.         $accessToken = $jwt->getToken($payload,'Access');
  71.         $refreshToken = $jwt->getToken(['uid'=>100],'Refresh');
  72.         $tokens = [
  73.             'Access' => $accessToken,
  74.             'Refresh'=> $refreshToken
  75.         ];
  76.         return json(['status'=>200,'data'=>$tokens]);
  77.     }


  80.     /**
  81.      * 通过刷新令牌,申请新的访问令牌
  82.      * @return \think\response\Json
  83.      */
  84.     public function refreshToken(){
  85.         $token = $this->request->header('RefreshToken');
  86.         $jwt = new Jwt();
  87.         if($jwtTools->verify($token)){
  88.             $content = $jwt->getTokenContent($token);
  89.             $accessToken = $jwt->getToken(['uid'=>$content['uid']],'Access');
  90.             $tokens = [
  91.                 'Access' => $accessToken,
  92.                 'Refresh'=> $token
  93.             ];
  94.             return json(['status'=>200,'data'=>$tokens]);
  95.         } else {
  96.             return json(['status'=>411,'data'=>'刷新令牌无效']);
  97.         }
  98.     }
  99. }
复制代码



回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|小黑屋|西兴社区 ( 蜀ICP备2022005627号 )|网站地图

GMT+8, 2024-12-27 13:56 , Processed in 0.675626 second(s), 21 queries .

Powered by Discuz! X3.5 Licensed

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表