原文連接：http://ukagaka.github.io/php/2018/05/08/JWT.html??

1. 為什么要使用tokent進行登錄

前后端分離或者為了支持多個web應用，那么原來的cookies或者session在使用上就會有很大的問題
cookie和session認證需要在同一主域名下才可以進行認證（目前可以把session存儲在redis內進行解決）。

2. 解決方案

oauth2 和 jwt

jwt ：是一種安全標準。基本思路就是用戶提供用戶名和密碼給認證服務器，服務器驗證用戶提交信息信息的合法性；如果驗證成功，會產生并返回一個token（令牌）
OAuth2 ：是一個安全的授權框架。它詳細描述了系統中不同角色、用戶、服務前端應用（比如API），以及客戶端（比如網站或移動APP）之間怎么實現相互認證。
（這里采用jwt，這種JSON Web Token 這種方式進行認證）

3. 生成方法

1. 頭部：加密類型

2. 說明：消息內容

3. key：一個隨機碼用來加密

4. 上面三部分使用.連接起來，然后使用hs256進行加密，生成tokent

4. 詳細生成方法

1). 頭部通常由兩部分組成：令牌的類型（即JWT）和所使用的加密算法（如：SHA256或者RSA）

{"alg": "HS256","typ": "JWT"
}

然后，這個json被Base64Url編碼，成為第一部分

2). 有效載荷是聲明。聲明是關于實體的部分。

{"exp": "1525785339","sub": "1234567890","name": "John Doe","admin": true
}

然后將有效載荷Base64Url進行編碼，成為第二部分
（PS：此信息盡管受到篡改保護，但是任何人都可以閱讀。除非加密，否則不要將重要信息放在里面）

3). 使用一個加密key

4). 簽名，需要使用編碼后的第一部分，編碼后的第二部分，然后一個關鍵的key。采用第一部分里的加密算法進行簽名

HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload),key
)

該簽名用于驗證消息是否有篡改。
（PHP使用crypt方法進行加密。注意：SHA-256用于防篡改，AES-256用于加密兩個概念不一樣）

5. token存放位置

通常應該在請求的header頭中的 Authorization字段使用 Bearer模式添加JWT（Authorization: Bearer?） （當然你也可以放在任意位置，如URL后面當成一個參數傳遞，只要客戶端能識別就行，不過既然JWT是個規范，那么我們最好還是按照規范來）

6. 使用方式

1. 客戶端用戶輸入用戶名密碼后執行登錄，請求token
2. 服務器收到請求后，使用JWT這種規范，進行生成token，返回給客戶端
3. 客戶端收到token以后，解密后，驗證token的時效性（token的過期時間），保存起來
4. 客戶端拿token請求數據
5. 服務器收到token解密后，驗證用戶身份，驗證時效性，然后驗證用戶

7. 缺點

1. 無法作廢已頒布的令牌（對token刷新使用期限）
2. 不易應對過期數據（支持 token 失效）

所以如果你使用了 token ，那么如果 token 被捕獲到，那么就可以進行偽造進行冒充。所以如果安全比較高的話，還是建議使用oauth2

轉載于:https://www.cnblogs.com/jianzhaojing/p/11431097.html

總結

以上是生活随笔為你收集整理的php token的生成和使用的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。