在今天的資訊時代,API不再只是軟體開發過程中的一項技術,它已成為現代Web應用程式中不可或缺的元件。由於API介面很容易受到攻擊,因此在開發API時,安全性是一項重要的考量因素之一。 JWT(JSON Web Token)和JWS(JSON Web Signature)是兩種常用於保護API的驗證方法。
JWT是一種基於JSON的安全令牌,用於在通訊雙方之間傳輸訊息。它由三個部分組成:頭部、負荷和簽名。頭部描述了令牌的類型及演算法,載荷包含了所需的信息,而簽名則用於驗證令牌的真實性。在使用JWT時,該令牌將被用作API請求的身份驗證令牌。
JWS是一種用於在文字字串中新增數位簽章的標準。它使得訊息可以在未受信任的環境中傳輸安全,並確保發送者的身份驗證和訊息的完整性。 JWS通常使用SHA-256或SHA-512演算法來產生簽章。
在本文中,我們將探討如何在PHP中使用JWT和JWS來進行API驗證。
步驟1:安裝依賴項
首先,我們需要安裝一些依賴項來支援JWT和JWS。使用以下指令安裝依賴項:
composer require firebase/php-jwt
composer require lcobucci/jwt
登入後複製
步驟2:產生JWT
在使用JWT之前,我們需要先生成JWT。以下是用於產生JWT的PHP程式碼:
use FirebaseJWTJWT;
// Set up the JWT payload data
$payload = array(
"sub" => "1234567890",
"name" => "John Doe",
"iat" => 1516239022
);
// Set up the JWT secret key
$secret_key = "YOUR_SECRET_KEY";
// Generate the JWT
$jwt = JWT::encode($payload, $secret_key);登入後複製
透過這段程式碼,我們成功地產生了一個JWT。在此程式碼中,我們設定了標頭,負載和簽名。標頭包含了JWT的類型和演算法,負載由我們提供的資料組成,例如使用者ID,使用者名稱等等,簽名用於驗證令牌的真實性。
步驟3:驗證JWT
下一步是驗證該JWT。我們需要使用以下程式碼來驗證JWT:
use FirebaseJWTJWT;
// Set up the JWT secret key
$secret_key = "YOUR_SECRET_KEY";
// Get the JWT from the request headers
$jwt = getAuthorizationHeader();
// Verify the JWT
try {
$payload = JWT::decode($jwt, $secret_key, array('HS256'));
} catch (Exception $e) {
// If the JWT is invalid, return an error response
return json_encode(array(
'success' => false,
'message' => 'Invalid JWT'
));
}
// If the JWT is valid, return a success response with the payload data
return json_encode(array(
'success' => true,
'message' => 'Valid JWT',
'payload' => $payload
));
// Function to get the Authorization header from the request
function getAuthorizationHeader()
{
$headers = apache_request_headers();
if (isset($headers['Authorization'])) {
return $headers['Authorization'];
} else {
return null;
}
}登入後複製
這段程式碼中,我們使用JWT::decode()函數來驗證JWT。如果驗證成功,將傳回包含JWT負載資料的對象,否則將返回捕獲的異常並傳回錯誤回應。
步驟4:產生JWS
現在,我們已經掌握如何產生和驗證JWT,接下來我們將了解如何使用JWS來保護API。以下是一個產生JWS的PHP程式碼片段:
use LcobucciJWTBuilder;
use LcobucciJWTSignerHmacSha256;
// Set up the JWT signer
$signer = new Sha256();
// Set up the JWT builder
$builder = new Builder();
$builder->setIssuer('http://example.com');
$builder->setAudience('http://example.org');
$builder->setId('4f1g23a12aa', true);
$builder->setIssuedAt(time());
$builder->setExpiration(time() + 3600);
$builder->set('uid', 1);
// Sign the JWT
$token = $builder->sign($signer, 'YOUR_SECRET_KEY')->getToken();
// Get the token string
$jwt = (string) $token;登入後複製
步驟5:驗證JWS
#最後一步是驗證JWS,我們需要使用以下程式碼:
use LcobucciJWTValidationData;
// Set up the JWT secret key
$secret_key = "YOUR_SECRET_KEY";
// Get the JWT from the request headers
$jwt = getAuthorizationHeader();
// Verify the JWS
$token = $signer->loadToken($jwt);
$validationData = new ValidationData();
$validationData->setIssuer('http://example.com');
$validationData->setAudience('http://example.org');
$validationData->setId('4f1g23a12aa');
$validationData->setCurrentTime(time());
if (!$token->validate($validationData) || !$token->verify($signer, $secret_key)) {
// If the JWS is invalid, return an error response
return json_encode(array(
'success' => false,
'message' => 'Invalid JWS'
));
}
// If the JWS is valid, return a success response with the payload data
$payload = $token->getClaims();
return json_encode(array(
'success' => true,
'message' => 'Valid JWS',
'payload' => $payload
));登入後複製
在這段程式碼中,我們使用loadToken()方法將JWT載入到驗證器中,使用validate()方法驗證JWT的內容,並使用verify()方法來驗證JWT的簽章是正確的。最後,我們提供了有效的回應,包含如果驗證成功,從JWS中取得的來自載荷的資料。
結論
總的來說,在PHP中使用JWT和JWS進行API身分驗證是非常好的實踐。使用這些技術,我們可以確保API只會被授權的使用者訪問,並保護API不受惡意使用者的攻擊。遵循上述步驟,我們可以輕鬆地在PHP中實現這種安全性身份驗證。
以上是如何在PHP中使用JWT和JWS進行API身份驗證的詳細內容。更多資訊請關注PHP中文網其他相關文章!
