JWT:slim v3 和 Android 中的身份验证
JWT: Authentication in slim v3 and Android
我正在使用 Slim 框架 return JSON 我的 Android 设备。我目前正在我的设备上登录。我使用 3 种不同的方式登录:Facebook、Google 和帐户登录。当他使用帐户登录时,他可以注册一个新帐户或使用现有帐户登录。
为了我的 Web 服务的安全性,我想使用 JWT 安全性。所以我正在阅读和观看有关其工作原理的视频。我想我明白它是如何工作的,但我找不到任何关于如何正确实施它的信息。
我用的slim v3中间件叫:Slim-JWT-Auth。
我在我的 slim 框架中找到了 following link 来实现它,我认为它工作正常。
现在我的问题是:
- 如何生成我的令牌?
- 我什么时候生成令牌?
- 使用 Google 或 Facebook 登录时是否还需要令牌?因为他们已经使用了 Auth2.0 令牌?
我知道它是如何工作的,但没有人在谈论何时以及如何实施它。那么我什么时候需要生成令牌(在登录 web 服务时?),我需要在每次启动应用程序后生成令牌,还是只需要等到令牌过期?
如何生成我的令牌?
由于中间件已经包含 firebase/php-jwt 库,您可以使用它来生成令牌。
$now = new DateTime();
$future = new DateTime("now +2 hours");
$server = $request->getServerParams();
$payload = [
"iat" => $now->getTimeStamp(),
"exp" => $future->getTimeStamp(),
"sub" => $server["PHP_AUTH_USER"]
];
$secret = "supersecretkeyyoushouldnotcommittogithub";
$token = JWT::encode($payload, $secret, "HS256");
我什么时候生成令牌?
在您的 api 中,您可以包含一个受密码保护的路由,其中 return 是令牌。除了 /token 之外的所有其他路由都经过了 JWT 身份验证。客户端可以在每次请求时请求令牌,或者总是在旧令牌过期之前请求令牌。
$app->add(new \Slim\Middleware\HttpBasicAuthentication([
"path" => "/token",
"users" => [
"test" => "test"
]
]);
$app->add(new \Slim\Middleware\JwtAuthentication([
"secret" => "supersecretkeyyoushouldnotcommittogithub"
"rules" => [
new RequestPathRule([
"path" => "/",
"passthrough" => ["/token"]
])
]
]);
$app->post("/token", function ($request, $response, $arguments) {
$now = new DateTime();
$future = new DateTime("now +2 hours");
$server = $request->getServerParams();
$payload = [
"iat" => $now->getTimeStamp(),
"exp" => $future->getTimeStamp(),
"sub" => $server["PHP_AUTH_USER"],
];
$secret = "supersecretkeyyoushouldnotcommittogithub";
$token = JWT::encode($payload, $secret, "HS256");
$data["status"] = "ok";
$data["token"] = $token;
return $response->withStatus(201)
->withHeader("Content-Type", "application/json")
->write(json_encode($data, JSON_UNESCAPED_SLASHES | JSON_PRETTY_PRINT));
});
使用 Google 或 Facebook 登录时是否还需要令牌?因为他们已经使用了 Auth2.0 令牌?
对此没有明确的答案。它"depends"。例如,您可以使用 Facebook 或 Google 和 return 您自己的 JWT 令牌验证您的 /token 路由。
有一项正在进行的工作更详细 example implementation 以上所有您可能想要检查的内容。
我正在使用 Slim 框架 return JSON 我的 Android 设备。我目前正在我的设备上登录。我使用 3 种不同的方式登录:Facebook、Google 和帐户登录。当他使用帐户登录时,他可以注册一个新帐户或使用现有帐户登录。
为了我的 Web 服务的安全性,我想使用 JWT 安全性。所以我正在阅读和观看有关其工作原理的视频。我想我明白它是如何工作的,但我找不到任何关于如何正确实施它的信息。
我用的slim v3中间件叫:Slim-JWT-Auth。 我在我的 slim 框架中找到了 following link 来实现它,我认为它工作正常。
现在我的问题是:
- 如何生成我的令牌?
- 我什么时候生成令牌?
- 使用 Google 或 Facebook 登录时是否还需要令牌?因为他们已经使用了 Auth2.0 令牌?
我知道它是如何工作的,但没有人在谈论何时以及如何实施它。那么我什么时候需要生成令牌(在登录 web 服务时?),我需要在每次启动应用程序后生成令牌,还是只需要等到令牌过期?
如何生成我的令牌?
由于中间件已经包含 firebase/php-jwt 库,您可以使用它来生成令牌。
$now = new DateTime();
$future = new DateTime("now +2 hours");
$server = $request->getServerParams();
$payload = [
"iat" => $now->getTimeStamp(),
"exp" => $future->getTimeStamp(),
"sub" => $server["PHP_AUTH_USER"]
];
$secret = "supersecretkeyyoushouldnotcommittogithub";
$token = JWT::encode($payload, $secret, "HS256");
我什么时候生成令牌?
在您的 api 中,您可以包含一个受密码保护的路由,其中 return 是令牌。除了 /token 之外的所有其他路由都经过了 JWT 身份验证。客户端可以在每次请求时请求令牌,或者总是在旧令牌过期之前请求令牌。
$app->add(new \Slim\Middleware\HttpBasicAuthentication([
"path" => "/token",
"users" => [
"test" => "test"
]
]);
$app->add(new \Slim\Middleware\JwtAuthentication([
"secret" => "supersecretkeyyoushouldnotcommittogithub"
"rules" => [
new RequestPathRule([
"path" => "/",
"passthrough" => ["/token"]
])
]
]);
$app->post("/token", function ($request, $response, $arguments) {
$now = new DateTime();
$future = new DateTime("now +2 hours");
$server = $request->getServerParams();
$payload = [
"iat" => $now->getTimeStamp(),
"exp" => $future->getTimeStamp(),
"sub" => $server["PHP_AUTH_USER"],
];
$secret = "supersecretkeyyoushouldnotcommittogithub";
$token = JWT::encode($payload, $secret, "HS256");
$data["status"] = "ok";
$data["token"] = $token;
return $response->withStatus(201)
->withHeader("Content-Type", "application/json")
->write(json_encode($data, JSON_UNESCAPED_SLASHES | JSON_PRETTY_PRINT));
});
使用 Google 或 Facebook 登录时是否还需要令牌?因为他们已经使用了 Auth2.0 令牌?
对此没有明确的答案。它"depends"。例如,您可以使用 Facebook 或 Google 和 return 您自己的 JWT 令牌验证您的 /token 路由。
有一项正在进行的工作更详细 example implementation 以上所有您可能想要检查的内容。