這篇文章主要介紹“php如何實(shí)現(xiàn)響應(yīng)頭增加token”，在日常操作中，相信很多人在php如何實(shí)現(xiàn)響應(yīng)頭增加token問題上存在疑惑，小編查閱了各式資料，整理出簡單好用的操作方法，希望對(duì)大家解答”php如何實(shí)現(xiàn)響應(yīng)頭增加token”的疑惑有所幫助！接下來，請(qǐng)跟著小編一起來學(xué)習(xí)吧！

我們提供的服務(wù)有：成都網(wǎng)站設(shè)計(jì)、成都網(wǎng)站制作、微信公眾號(hào)開發(fā)、網(wǎng)站優(yōu)化、網(wǎng)站認(rèn)證、都蘭ssl等。為上千多家企事業(yè)單位解決了網(wǎng)站和推廣的問題。提供周到的售前咨詢和貼心的售后服務(wù)，是有科學(xué)管理、有技術(shù)的都蘭網(wǎng)站制作公司

php實(shí)現(xiàn)響應(yīng)頭增加token的方法：1、在請(qǐng)求的header頭中的Authorization字段使用Bearer模式添加JWT；2、在服務(wù)器收到請(qǐng)求后，使用JWT規(guī)范，進(jìn)行生成token，返回給客戶端即可。

php token的生成和使用

1. 為什么要使用tokent進(jìn)行登錄

前后端分離或者為了支持多個(gè)web應(yīng)用，那么原來的cookies或者session在使用上就會(huì)有很大的問題

cookie和session認(rèn)證需要在同一主域名下才可以進(jìn)行認(rèn)證（目前可以把session存儲(chǔ)在redis內(nèi)進(jìn)行解決）。

2. 解決方案

oauth3 和 jwt

jwt ：是一種安全標(biāo)準(zhǔn)?；舅悸肪褪怯脩籼峁┯脩裘兔艽a給認(rèn)證服務(wù)器，服務(wù)器驗(yàn)證用戶提交信息信息的合法性；如果驗(yàn)證成功，會(huì)產(chǎn)生并返回一個(gè)token（令牌）

OAuth3 ：是一個(gè)安全的授權(quán)框架。它詳細(xì)描述了系統(tǒng)中不同角色、用戶、服務(wù)前端應(yīng)用（比如API），以及客戶端（比如網(wǎng)站或移動(dòng)APP）之間怎么實(shí)現(xiàn)相互認(rèn)證。

（這里采用jwt，這種JSON Web Token 這種方式進(jìn)行認(rèn)證）

3. 生成方法

頭部：加密類型

說明：消息內(nèi)容

key：一個(gè)隨機(jī)碼用來加密

上面三部分使用.連接起來，然后使用hs256進(jìn)行加密，生成tokent

4. 詳細(xì)生成方法

1). 頭部通常由兩部分組成：令牌的類型（即JWT）和所使用的加密算法（如：SHA256或者RSA）

{
      "alg": "HS256",
      "typ": "JWT"
}

然后，這個(gè)json被Base64Url編碼，成為第一部分

2). 有效載荷是聲明。聲明是關(guān)于實(shí)體的部分。

{
      "exp": "1525785339",
      "sub": "1234567890",
      "name": "John Doe",
      "admin": true
}

然后將有效載荷Base64Url進(jìn)行編碼，成為第二部分

（PS：此信息盡管受到篡改保護(hù)，但是任何人都可以閱讀。除非加密，否則不要將重要信息放在里面）

3). 使用一個(gè)加密key

4). 簽名，需要使用編碼后的第一部分，編碼后的第二部分，然后一個(gè)關(guān)鍵的key。采用第一部分里的加密算法進(jìn)行簽名

HMACSHA256(
          base64UrlEncode(header) + "." + base64UrlEncode(payload),
          key
)

該簽名用于驗(yàn)證消息是否有篡改。

（PHP使用crypt方法進(jìn)行加密。注意：SHA-256用于防篡改，AES-256用于加密兩個(gè)概念不一樣）

5. token存放位置

通常應(yīng)該在請(qǐng)求的header頭中的 Authorization字段使用 Bearer模式添加JWT（Authorization: Bearer ） （當(dāng)然你也可以放在任意位置，如URL后面當(dāng)成一個(gè)參數(shù)傳遞，只要客戶端能識(shí)別就行，不過既然JWT是個(gè)規(guī)范，那么我們最好還是按照規(guī)范來）

6. 使用方式

客戶端用戶輸入用戶名密碼后執(zhí)行登錄，請(qǐng)求token

服務(wù)器收到請(qǐng)求后，使用JWT這種規(guī)范，進(jìn)行生成token，返回給客戶端

客戶端收到token以后，解密后，驗(yàn)證token的時(shí)效性（token的過期時(shí)間），保存起來

客戶端拿token請(qǐng)求數(shù)據(jù)

服務(wù)器收到token解密后，驗(yàn)證用戶身份，驗(yàn)證時(shí)效性，然后驗(yàn)證用戶

7. 缺點(diǎn)

1. 無法作廢已頒布的令牌（對(duì)token刷新使用期限）

2. 不易應(yīng)對(duì)過期數(shù)據(jù)（支持 token 失效）

所以如果你使用了 token ，那么如果 token 被捕獲到，那么就可以進(jìn)行偽造進(jìn)行冒充。所以如果安全比較高的話，還是建議使用oauth3。

到此，關(guān)于“php如何實(shí)現(xiàn)響應(yīng)頭增加token”的學(xué)習(xí)就結(jié)束了，希望能夠解決大家的疑惑。理論與實(shí)踐的搭配能更好的幫助大家學(xué)習(xí)，快去試試吧！若想繼續(xù)學(xué)習(xí)更多相關(guān)知識(shí)，請(qǐng)繼續(xù)關(guān)注創(chuàng)新互聯(lián)網(wǎng)站，小編會(huì)繼續(xù)努力為大家?guī)砀鄬?shí)用的文章！