Beste Authentifizierungs- und Autorisierungspraktiken in der PHP-API-Entwicklung

Mit der rasanten Entwicklung des Internets beginnen immer mehr Unternehmen, eigene APIs zu entwickeln, um Dienste oder Daten bereitzustellen. Für die API-Sicherheit sind Authentifizierung und Autorisierung unverzichtbare Verbindungen. In diesem Artikel werden wir über die besten Authentifizierungs- und Autorisierungspraktiken bei der PHP-API-Entwicklung sprechen.

1. Was ist Authentifizierung und Autorisierung?

Zunächst müssen wir verstehen, was Authentifizierung und Autorisierung sind. Einfach ausgedrückt besteht die Authentifizierung darin, die Identität des Benutzers zu bestätigen, während die Autorisierung darin besteht, dem Benutzer die Erlaubnis zu erteilen, auf bestimmte Ressourcen zuzugreifen.

Normalerweise gibt es drei Arten der Authentifizierung:

1. Tokenbasierte Authentifizierung: Der Benutzer gibt einen Berechtigungsnachweis (normalerweise einen Benutzernamen und ein Passwort) ein und erhält einen Token vom Server, der bei nachfolgenden Anfragen zur Identitätsüberprüfung verwendet werden kann.

2. Cookie-basierte Authentifizierung: Der Server setzt ein Cookie im Browser des Benutzers, und dieses Cookie kann zur Überprüfung der Identität bei nachfolgenden Anfragen verwendet werden.

3. HTTP-basierte Authentifizierung: Der Client authentifiziert sich durch das Senden eines Base64-codierten Benutzernamens und Passworts.

Die Autorisierung ist in die folgenden Typen unterteilt:

1. Rollenbasierte Zugriffsberechtigung: Ordnen Sie Benutzer Rollen zu, und Zugriffsrechte werden basierend auf der Rolle bestimmt, zu der der Benutzer gehört.

2. Ressourcenbasierte Zugriffsberechtigung: Gewähren Sie jeder Ressource spezifische Berechtigungen, und jeder Benutzer entscheidet anhand der erhaltenen Berechtigungen, auf welche Ressource er zugreifen möchte.

2. Best Practices für die Authentifizierung und Autorisierung

1. Die Verwendung der tokenbasierten Authentifizierung ist die gebräuchlichste Methode. In PHP können Sie die Token-Authentifizierungsbibliothek (JWT) von PHP verwenden, um Token zu erstellen und zu überprüfen.

Die JWT-Nutzlast ist ein JSON-Objekt, das Informationen über die Identität des Benutzers enthält. Der JWT-Header definiert den Algorithmus, der zum Generieren der Signatur aus der Nutzlast verwendet wird. Die Signatur wird verwendet, um das JWT zu überprüfen und sicherzustellen, dass die Nutzlast während der Übertragung nicht manipuliert wurde.

Der folgende Code zeigt beispielsweise, wie ein JWT initialisiert und signiert wird:

use FirebaseJWTJWT;

// 每次请求都会生成一个新的JWT
$jwt = JWT::encode([
    'sub' => $user->getId(),
    'exp' => time() + 3600
], $secretKey);

Bei der Authentifizierung muss das JWT überprüft werden. Der folgende Code zeigt, wie ein JWT validiert und Daten aus der Nutzlast extrahiert werden:

use FirebaseJWTJWT;

try {
    // 验证JWT并从荷载中提取数据
    $decoded = JWT::decode($jwt, $secretKey, ['HS256']);
    $userId = $decoded->sub;
} catch (Exception $e) {
    // 如果JWT无效，则引发异常
    throw new Exception('Invalid token');
}

2. Verwenden Sie HTTPS für die Kommunikation

Die Verwendung von HTTPS gewährleistet die Verschlüsselung von Anfragen und Antworten. Dies verhindert Man-in-the-Middle-Angriffe wie Lauschangriffe, Fälschungen und Replay-Angriffe.

Sie können TLS-Zertifikate in HTTPS verwenden, um die Identität des Clients zu überprüfen. Der folgende Code zeigt, wie ein TLS-Client-Zertifikat überprüft wird:

$cert = $server_request->getAttribute('ssl_client_cert');
$clientCert = openssl_x509_parse($cert);

$userCert = //根据用户证书的颁发机构来验证用户证书

if (!$userCert || !hasAccess($userCert)) {
    return new Response('Access denied', 403);
}

3 Rollenbasierte Zugriffsautorisierung verwenden

Rollenbasierte Zugriffsautorisierung verwenden, um Benutzer Rollen zuzuordnen und Berechtigungen basierend auf der Rolle des Benutzers zu bestimmen.

Sie können Rollen-Middleware verwenden, um den Zugriff einzuschränken. Der folgende Code demonstriert beispielsweise die Verwendung von Middleware:

class RoleMiddleware
{
    private $allowedRoles;

    public function __construct($allowedRoles)
    {
        $this->allowedRoles = $allowedRoles;
    }

    public function __invoke(ServerRequestInterface $request, callable $next) : ResponseInterface
    {
        $userRoles = //获取当前用户的角色

        foreach ($this->allowedRoles as $allowedRole) {
            if (in_array($allowedRole, $userRoles, true)) {
                return $next($request);
            }
        }

        return new Response('Access denied', 403);
    }
}

// 示例
$app->get('/admin', function (Request $request) use ($app) {
    $response = new Response();

    // 角色中间件只允许具有“admin”角色的用户访问
    $app->add(new RoleMiddleware(['admin']));

    $response->getBody()->write('Welcome to the Admin panel!');
    return $response;
});

4. Verwendung der ressourcenbasierten Zugriffsautorisierung

Mit der ressourcenbasierten Zugriffsautorisierung kann jeder Ressource eine Reihe von Berechtigungen zugewiesen werden und die Berechtigungen werden basierend auf den Berechtigungen des Benutzers festgelegt Genehmigung.

Der folgende Code zeigt beispielsweise, wie die Autorisierung beim Routing verwendet wird:

use ZendPermissionsAclAcl;

// 初始化ACL
$acl = new Acl();
$acl->addResource('profile');
$acl->addRole('guest');
$acl->addRole('user', 'guest');
$acl->addRole('admin', 'user');
$acl->allow('guest', 'profile', ['read']);
$acl->allow('user', 'profile', ['read', 'update']);
$acl->allow('admin', 'profile', ['read', 'update', 'delete']);

$app->get('/profile', function (Request $request, Response $response) use ($acl) {
    $user = //从JWT中获取用户
    $action = 'read';

    if (!$acl->isAllowed($user['role'], 'profile', $action)) {
        return $response->withStatus(403);
    }

    // Display user profile
});

3. Zusammenfassung

Für die PHP-API-Entwicklung sind Authentifizierung und Autorisierung unverzichtbare Verknüpfungen. Die Verwendung einer tokenbasierten Authentifizierung, die Verwendung von HTTPS für die Kommunikation, die Verwendung einer rollenbasierten Zugriffsautorisierung und die Verwendung einer ressourcenbasierten Zugriffsautorisierung sind Best Practices in der PHP-API-Entwicklung. Diese Praktiken gewährleisten die Sicherheit Ihrer API und schützen Benutzerdaten sowie die Integrität Ihrer API.

Das obige ist der detaillierte Inhalt vonBeste Authentifizierungs- und Autorisierungspraktiken in der PHP-API-Entwicklung. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!