Как правильно реализовать JWT в PHP?

Question

[PoodingRex]

Всем добрейшего времени суток. Объясните, пожалуйста, как работает JWT. Сколько читаю, никак не могу понять всей картины. Есть готовые примеры на гитхабе, но не хочется использовать без понимая.

Как это вижу я:
1) Пользователь отправляет на сервер логин и пароль
2) Они проверяются в базе, если соответствуют - сервер генерирует токен вида HEADsdfsfddsf.PAYLOADsdfsfsfs.SIGNATUREsdfslqeqa
3) Токен сохраняет в LocalStorage либо иное хранилище у пользователя + в БД
4) Каждый раз, когда делается запрос к серверу, к нему добавляется токен из LS
5) Сервер сверяет токен у пользователя и бд. Если всё хорошо - даёт права.

Верно понимаю? Может где-то есть подробная информация о принципе реализации на русском? Желательно без привязки к фреймворкам.

Заранее спасибо за ответ.

Answer 1

[Александр Аксентьев]

Сервер сверяет токен у пользователя и бд.

нет, соль JWT как раз в самодостаточности, там хранится вся необходимая информация чтобы идентифициаровать пользователя + сигнатура чтобы проверить достоверность.
В базе токен не хранится. Максимум секретный ключ для генерации сигнатуры.

На сервере только сверить сигнатуру надо, для этого сервер генерируют свою из своего секретного ключа или вроде того. И если совпадают - значит всё ок.

Comments

[PoodingRex]

т.е. каждый раз, когда идёт обращение к серверу, он вновь генерирует токен по ключу сигнатуры, и опять сверяет? Верно?

[Александр Аксентьев]

PoodingRex: он генерирует не токен, а сигнатуру, и сверяет с той что содержится в jwt-токене.
jwt-токен содержит данные + сигнатуру. По данным мы уже можем узнать юзера например, даже если токен невалидный и т.д.

сигнатура по сути хеш-сумма данных из токена.
если робокассу или другую платежку ставили когда-нибудь, примерно так же работает.

jwt токен содержит массив данных любых для иеднтификации юзера.
например user_id, email и сигнатура.
сигнатура допустим это md5(user_id,email,secret_key)

при обращении к серверу из jwt-токена можно достать user_id и email, и сгенерировать md5(user_id, email, secret_key)
Если хеши совпали = пользователь/токен валидный.
secret_key знает только сервер.

В общем этим всем не надо заморачиваться, уже есть тысяча и одна реализация на всех языках.
https://jwt.io/
Прочитать только доки и прилепить к своему коду.

[Sergej]

PoodingRex: дополню.
https://github.com/search?l=PHP&q=jwt&type=Reposit...
700+ реализаций jwt, так же есть для всех популярных фреймворков и не только PHP.

При реализации RESTful API, советую для разработки/документации использовать swagger
Так же на git есть куча готовых решений.

P.S.
JWT - проще говоря токен с суммой данных внутри.
Вы запрашиваете токен на сервере и используя его, обращаетесь к API.
На сервере идет его проверка, если все ок, то выполняется какой-либо код.
Жизнь (ttl) токена и др. параметры так же настраиваются.

[Aspirant555]

Sergej, что произойдёт в случае удаления токена? Нужно новый создавать?