Comment s'authentifier dans l'interface API PHP à l'aide de JWT

Dans le développement Web, l'une des exigences les plus courantes est l'authentification des utilisateurs. Pour mettre en œuvre une authentification sécurisée, les développeurs Web peuvent s'appuyer sur de nombreux mécanismes différents. Une méthode populaire est JSON Web Tokens (JWT), qui fournit une méthode d'authentification basée sur des jetons.

Dans cet article, nous présenterons les concepts de base de JWT puis démontrerons comment utiliser JWT pour l'authentification en PHP. Nous utiliserons un exemple d’API simple pour illustrer.

1. Qu'est-ce que JWT ?

JWT est un standard ouvert (RFC 7519) qui définit un protocole de token basé sur le format JSON pour transmettre des informations entre le serveur et le client. Un JWT se compose de trois parties : l'en-tête, la charge utile et la signature.

L'en-tête contient des métadonnées sur le jeton, telles que le type de jeton et l'algorithme de signature. La charge utile contient les données à transférer. La transmission de JWT se fait via l'encodage Base64. La partie signature consiste à signer la valeur de hachage de l'en-tête et de la charge utile.

2. Comment utiliser JWT pour l'authentification ?

Dans les applications réelles, nous générons généralement un JWT une fois que l'utilisateur s'est connecté avec succès, puis le renvoyons au client. Chaque fois que le client accède à une API protégée, il doit envoyer un JWT au serveur comme information d'authentification. Le serveur peut vérifier la validité du JWT et authentifier l'utilisateur sur cette base.

Montrons comment utiliser JWT pour l'authentification en PHP. Dans cet exemple, nous allons créer une API simple pour valider JWT. L'API acceptera les requêtes GET et transmettra JWT comme paramètres de requête.

Tout d'abord, nous devons installer la bibliothèque php-jwt. Nous pouvons utiliser Composer pour terminer l'importation :

composer require firebase/php-jwt

Ensuite, nous devons écrire une fonction pour convertir les données utiles en JWT et les signer :

function generateToken($payload) {
    $key = "secret_key";
    $token = array(
        "iss" => "http://example.org",
        "aud" => "http://example.com",
        "iat" => time(),
        "exp" => time() + (60*60),
        "data" => $payload
    );

    return JWT::encode($token, $key);
}

Dans cette fonction, nous définissons quelques métadonnées de base, telles que "iss" ( émetteur), "aud" (récepteur), "iat" (heure d'émission) et "exp" (heure d'expiration). Nous ajoutons également des données utilisateur à la section de données du JWT. Enfin, nous signons le JWT en utilisant la méthode encode de la bibliothèque PHP-JWT, en utilisant "secret_key" comme clé de signature.

Ensuite, nous devons écrire une fonction de validation pour vérifier si le JWT entrant est valide :

function validateToken($jwt) {
    $key = "secret_key";
    try {
        $data = JWT::decode($jwt, $key, array('HS256'));
        return true;
    } catch (Exception $e) {
        return false;
    }
}

Dans cette fonction, nous décodons le JWT en utilisant la méthode de décodage de la bibliothèque PHP-JWT et le validons en utilisant la même clé. Renvoie vrai si la validation JWT réussit, faux sinon.

Enfin, nous devons écrire un script d'entrée pour recevoir la requête GET et valider le JWT :

require_once 'vendor/autoload.php';

use FirebaseJWTJWT;

$jwt = $_GET['jwt'];
if (validateToken($jwt)) {
    $data = JWT::decode($jwt, "secret_key", array('HS256'));
    echo "Welcome " . $data->data->username . "!";
} else {
    echo "Invalid token!";
}

Dans ce script, nous récupérons d'abord le JWT à partir des paramètres de la requête GET, puis appelons la fonction validateToken pour vérifier si le JWT est valable. Si le JWT est valide, nous pouvons le décoder, en extraire nos informations utilisateur stockées et accueillir l'utilisateur. Sinon, nous afficherons « Jeton invalide ! ».

Le code complet est le suivant :

require_once 'vendor/autoload.php';

use FirebaseJWTJWT;

function generateToken($payload) {
    $key = "secret_key";
    $token = array(
        "iss" => "http://example.org",
        "aud" => "http://example.com",
        "iat" => time(),
        "exp" => time() + (60*60),
        "data" => $payload
    );

    return JWT::encode($token, $key);
}

function validateToken($jwt) {
    $key = "secret_key";
    try {
        $data = JWT::decode($jwt, $key, array('HS256'));
        return true;
    } catch (Exception $e) {
        return false;
    }
}

$jwt = $_GET['jwt'];
if (validateToken($jwt)) {
    $data = JWT::decode($jwt, "secret_key", array('HS256'));
    echo "Welcome " . $data->data->username . "!";
} else {
    echo "Invalid token!";
}

3. Résumé

Cet article explique comment utiliser JWT pour l'authentification en PHP. Nous avons présenté JWT basé sur une API simple, détaillant comment générer et valider un JWT.

Les points clés de l'utilisation de JWT pour l'authentification sont de définir correctement les métadonnées JWT et d'utiliser le bon algorithme de signature. De plus, les JWT doivent toujours être signés à l'aide d'une clé sécurisée.

Par conséquent, lors du développement d'applications, vous devez soigneusement réfléchir à la manière d'utiliser JWT pour vous assurer que votre application est sécurisée.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!