So verwenden Sie JWT und JWE für die API-Authentifizierung und -Verschlüsselung in PHP

Mit der Entwicklung des Internets müssen immer mehr Websites und Anwendungen API-Schnittstellen für die Dateninteraktion bereitstellen. In diesem Fall werden API-Authentifizierung und -Verschlüsselung zu sehr wichtigen Themen. Als beliebte Authentifizierungs- und Verschlüsselungsmechanismen werden JWT und JWE zunehmend in PHP verwendet. In diesem Artikel wird erläutert, wie Sie JWT und JWE für die API-Authentifizierung und -Verschlüsselung in PHP verwenden.

1. Grundkonzepte von JWT

JWT steht für JSON Web Token und ist ein kompakter, eigenständiger Mechanismus zur sicheren Übertragung von Informationen zwischen zwei Parteien. Es besteht aus drei Teilen: Header, Payload und Signatur. Der Header enthält Informationen zum Tokentyp und zum Algorithmus, die Nutzlast enthält die zu übertragenden Daten und die Signatur wird zur Überprüfung der Authentizität der Daten verwendet.

Hier ist ein Beispiel für ein JWT:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.Sfl xwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

Unter diesen ist der Header {"alg": "HS256", "typ": "JWT"} und die Nutzlast ist {"sub ": " 1234567890", "name": "John Doe", "iat": 1516239022}, signiert als SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c.

2. Verwendung von JWT in PHP für die API-Authentifizierung

Die Verwendung von JWT für die Authentifizierung in PHP erfordert die Verwendung einer JWT-Bibliothek, wie z. B. PHP-JWT. Die spezifischen Schritte sind wie folgt:

(1) Laden Sie die PHP-JWT-Bibliothek herunter und installieren Sie sie. Kann über Composer installiert werden.

(2) Verwenden Sie den folgenden Code zum Kodieren und Dekodieren:

// Encode JWT
$jwt = JWT::encode($payload, $key);

// Decode JWT
$decoded = JWT::decode ( $jwt, $key, array('HS256'));

Unter diesen sind $payload die Daten, die übertragen werden müssen, und $key ist der Signaturschlüssel, der nach Bedarf festgelegt werden kann.

(3) Authentifizierung in der API

Die Grundidee der Verwendung von JWT zur Authentifizierung in der API ist: Nachdem sich der Benutzer erfolgreich angemeldet hat, generiert der Server ein JWT und sendet das JWT dann an den Benutzer und den Benutzer greift auf die API zu. Sie müssen das JWT mitbringen, wenn Sie die Anfrage empfangen. Der Server dekodiert und überprüft das JWT, wenn es die Anfrage empfängt, um festzustellen, ob die Identität des Benutzers legal ist.

3. Grundkonzept von JWE

JWE steht für JSON Web Encryption und ist ein Mechanismus zur Verschlüsselung und zum Schutz von Daten. Es besteht ebenfalls aus drei Teilen: Header, verschlüsselter Inhalt und Verschlüsselungsschlüssel. Der Header enthält Informationen zum Verschlüsselungsalgorithmus und zur Schlüsselverwaltungsmethode. Der verschlüsselte Inhalt enthält die Daten, die verschlüsselt werden müssen. Der Verschlüsselungsschlüssel wird zum Entschlüsseln der Daten verwendet. Hier ist ein Beispiel für JWE: OiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.gXA0McEJXO_ejzOqzUwy_sx14ISFH7ksjwSYZdarlMQRzgb-gMQapghrpyv6grXBTJZbOQxBBzNU8w0WLw Zij lNQ6QVY_wVQW8cm-W-IM9-rwqw4z6c17LUwJdd_0d9PuX_AhJIu5FKkeqMqYfZXMrE4IlO-9XxWA6sv_aWUjc5QifAAOfQCFx9ICpJ-s1iCZKc8R44vhPdujfA7Pj8bhEsuYUx j04b1g _JqZYlOB04yu9wW8Hu76IlLvAhL19VE4FYsOa9cuXQc4kzbd4x-vylbMnSFzVDqt5PNZPd0-CQq7UZmI_i9tlxK-BW9XWauqQaN6UOsNwcl66uV9TxWg.AxY8DCtDaGlsbGl. SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

Unter ihnen ist der Header {" alg": "RSA -OAEP", "enc": "A256GCM", "kid": "12345", "iss": "someClient", "crt": ["b64"]}, der verschlüsselte Inhalt ist {" sub": "1234567890" , "name": "John Doe", "iat": 1516239022}, der Verschlüsselungsschlüssel ist AxY8DCtDaGlsbGljb3RoZQ.

Verwendung von JWE für die API-Verschlüsselung in PHP

Die Verwendung von JWE für die Verschlüsselung in PHP erfordert die Verwendung einer JWE-Bibliothek wie php-jose. Die spezifischen Schritte sind wie folgt:
4. (1) Laden Sie die PHP-Jose-Bibliothek herunter und installieren Sie sie. Kann über Composer installiert werden.

(2) Verwenden Sie den folgenden Code zum Kodieren und Dekodieren:

// JWE kodieren

$jwe = (new JWE())

->setPayload($data)
->addRecipient(new JWK($key))
->setAlgorithm('RSA-OAEP')
->setEncryptionAlgorithm('A256GCM')
->addHeader('kid', '12345');

$compact_jwe = $jwe->toCompactJSON();

// Dekodieren JWE

$jwe = JWE::loadFromCompact($compact_jwe);

$jwk = new JWK($key);

$plaintext = $jwe->decrypt($jwk);

Unter diesen sind $data die Daten Das muss verschlüsselt werden. $key ist der Verschlüsselungsschlüssel, der nach Bedarf festgelegt werden kann.

(3) Verschlüsselung in der API

Die Grundidee der Verwendung von JWE für die Verschlüsselung in der API ist: Wenn der Server eine API-Antwort generiert, verschlüsselt er die Antwortdaten mit JWE und sendet die verschlüsselten Daten dann an den Client. Der Client entschlüsselt die Antwort nach dem Empfang.

Zusammenfassung

In diesem Artikel wird erläutert, wie JWT und JWE für die API-Authentifizierung und -Verschlüsselung in PHP verwendet werden. Durch die Verwendung von JWT kann die Identitätslegitimität und Datenintegrität von API-Anfragen sichergestellt werden, und durch die Verwendung von JWE kann die Vertraulichkeit von API-Antwortdaten sichergestellt werden. In tatsächlichen Projekten können je nach Bedarf geeignete Authentifizierungs- und Verschlüsselungsmechanismen ausgewählt werden.

Das obige ist der detaillierte Inhalt vonSo verwenden Sie JWT und JWE für die API-Authentifizierung und -Verschlüsselung in PHP. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!