首頁 > 後端開發 > php教程 > 如何在PHP中使用JWT和JWS進行API身份驗證

如何在PHP中使用JWT和JWS進行API身份驗證

WBOY
發布: 2023-06-17 20:24:02
原創
1643 人瀏覽過

在今天的資訊時代,API不再只是軟體開發過程中的一項技術,它已成為現代Web應用程式中不可或缺的元件。由於API介面很容易受到攻擊,因此在開發API時,安全性是一項重要的考量因素之一。 JWT(JSON Web Token)和JWS(JSON Web Signature)是兩種常用於保護API的驗證方法。

JWT是一種基於JSON的安全令牌,用於在通訊雙方之間傳輸訊息。它由三個部分組成:頭部、負荷和簽名。頭部描述了令牌的類型及演算法,載荷包含了所需的信息,而簽名則用於驗證令牌的真實性。在使用JWT時,該令牌將被用作API請求的身份驗證令牌。

JWS是一種用於在文字字串中新增數位簽章的標準。它使得訊息可以在未受信任的環境中傳輸安全,並確保發送者的身份驗證和訊息的完整性。 JWS通常使用SHA-256或SHA-512演算法來產生簽章。

在本文中,我們將探討如何在PHP中使用JWT和JWS來進行API驗證。

步驟1:安裝依賴項

首先,我們需要安裝一些依賴項來支援JWT和JWS。使用以下指令安裝依賴項:

composer require firebase/php-jwt
composer require lcobucci/jwt
登入後複製

步驟2:產生JWT

在使用JWT之前,我們需要先生成JWT。以下是用於產生JWT的PHP程式碼:

use FirebaseJWTJWT;

// Set up the JWT payload data
$payload = array(
    "sub" => "1234567890",
    "name" => "John Doe",
    "iat" => 1516239022
);

// Set up the JWT secret key
$secret_key = "YOUR_SECRET_KEY";

// Generate the JWT
$jwt = JWT::encode($payload, $secret_key);
登入後複製

透過這段程式碼,我們成功地產生了一個JWT。在此程式碼中,我們設定了標頭,負載和簽名。標頭包含了JWT的類型和演算法,負載由我們提供的資料組成,例如使用者ID,使用者名稱等等,簽名用於驗證令牌的真實性。

步驟3:驗證JWT

下一步是驗證該JWT。我們需要使用以下程式碼來驗證JWT:

use FirebaseJWTJWT;

// Set up the JWT secret key
$secret_key = "YOUR_SECRET_KEY";

// Get the JWT from the request headers
$jwt = getAuthorizationHeader();

// Verify the JWT
try {
    $payload = JWT::decode($jwt, $secret_key, array('HS256'));
} catch (Exception $e) {
    // If the JWT is invalid, return an error response
    return json_encode(array(
        'success' => false,
        'message' => 'Invalid JWT'
    ));
}

// If the JWT is valid, return a success response with the payload data
return json_encode(array(
    'success' => true,
    'message' => 'Valid JWT',
    'payload' => $payload
));

// Function to get the Authorization header from the request
function getAuthorizationHeader()
{
    $headers = apache_request_headers();

    if (isset($headers['Authorization'])) {
        return $headers['Authorization'];
    } else {
        return null;
    }
}
登入後複製

這段程式碼中,我們使用JWT::decode()函數來驗證JWT。如果驗證成功,將傳回包含JWT負載資料的對象,否則將返回捕獲的異常並傳回錯誤回應。

步驟4:產生JWS

現在,我們已經掌握如何產生和驗證JWT,接下來我們將了解如何使用JWS來保護API。以下是一個產生JWS的PHP程式碼片段:

use LcobucciJWTBuilder;
use LcobucciJWTSignerHmacSha256;

// Set up the JWT signer
$signer = new Sha256();

// Set up the JWT builder
$builder = new Builder();
$builder->setIssuer('http://example.com');
$builder->setAudience('http://example.org');
$builder->setId('4f1g23a12aa', true);
$builder->setIssuedAt(time());
$builder->setExpiration(time() + 3600);
$builder->set('uid', 1);

// Sign the JWT
$token = $builder->sign($signer, 'YOUR_SECRET_KEY')->getToken();

// Get the token string
$jwt = (string) $token;
登入後複製

步驟5:驗證JWS

#最後一步是驗證JWS,我們需要使用以下程式碼:

use LcobucciJWTValidationData;

// Set up the JWT secret key
$secret_key = "YOUR_SECRET_KEY";

// Get the JWT from the request headers
$jwt = getAuthorizationHeader();

// Verify the JWS
$token = $signer->loadToken($jwt);
$validationData = new ValidationData();
$validationData->setIssuer('http://example.com');
$validationData->setAudience('http://example.org');
$validationData->setId('4f1g23a12aa');
$validationData->setCurrentTime(time());

if (!$token->validate($validationData) || !$token->verify($signer, $secret_key)) {
    // If the JWS is invalid, return an error response
    return json_encode(array(
        'success' => false,
        'message' => 'Invalid JWS'
    ));
}

// If the JWS is valid, return a success response with the payload data
$payload = $token->getClaims();
return json_encode(array(
    'success' => true,
    'message' => 'Valid JWS',
    'payload' => $payload
));
登入後複製

在這段程式碼中,我們使用loadToken()方法將JWT載入到驗證器中,使用validate()方法驗證JWT的內容,並使用verify()方法來驗證JWT的簽章是正確的。最後,我們提供了有效的回應,包含如果驗證成功,從JWS中取得的來自載荷的資料。

結論

總的來說,在PHP中使用JWT和JWS進行API身分驗證是非常好的實踐。使用這些技術,我們可以確保API只會被授權的使用者訪問,並保護API不受惡意使用者的攻擊。遵循上述步驟,我們可以輕鬆地在PHP中實現這種安全性身份驗證。

以上是如何在PHP中使用JWT和JWS進行API身份驗證的詳細內容。更多資訊請關注PHP中文網其他相關文章!

相關標籤:
來源:php.cn
本網站聲明
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn
熱門教學
更多>
最新下載
更多>
網站特效
網站源碼
網站素材
前端模板