Авторизация PHP с помощью JWT (веб-токены JSON)
Было время, когда единственный способ аутентифицировать себя в приложении заключался в предоставлении ваших учетных данных (обычно имени пользователя или адреса электронной почты и пароля), а затем использовался сеанс для поддержания состояния пользователя до тех пор, пока пользователь не вышел из системы. Чуть позже мы начали использовать API аутентификации. А в последнее время JWT или веб-токены JSON все чаще используются как еще один способ аутентификации запросов к серверу.
В этой статье вы узнаете, что такое JWT и как использовать их с PHP для выполнения аутентифицированных запросов пользователей.
JWT против сеансов
Но сначала, почему сеансы — не такая уж хорошая вещь? Что ж, есть три основных причины:
Теперь давайте начнем изучать JWT. Спецификация веб-токена JSON (RFC 7519) была впервые опубликована 28 декабря 2010 г. и последний раз обновлялась в мае 2015 г.
У JWT есть много преимуществ перед ключами API, в том числе:
Как выглядит JWT?
На первый взгляд кажется, что строка представляет собой просто случайные группы символов, объединенных точкой или точкой. Таким образом, он может не сильно отличаться от ключа API. Однако, если вы присмотритесь, есть три отдельные строки.
Заголовок JWT
Первая строка — это заголовок JWT. Это строка JSON в кодировке Base64 с кодировкой URL. Он указывает, какой криптографический алгоритм использовался для генерации подписи, и тип токена, который всегда имеет значение JWT. Алгоритм может быть, как симметричным, так и асимметричным.
Симметричный алгоритм использует один ключ как создать и проверить маркер. Ключ используется совместно создателем JWT и его потребителем. Важно убедиться, что секрет известен только создателю и потребителю. В противном случае любой может создать действующий токен.
Асимметричный алгоритм использует секретный ключ, чтобы подписать маркер и открытый ключ для проверки его. Эти алгоритмы следует использовать, когда общий секрет нецелесообразен или другим сторонам нужно только проверить целостность токена.
Полезная нагрузка JWT
Вторая строка — это полезная нагрузка JWT. Это также строка JSON в кодировке Base64 с кодировкой URL. Он содержит несколько стандартных полей, которые называются «претензиями». Есть три типа требований: зарегистрированные, публичные и частные.
Зарегистрированные претензии предопределены. Вы можете найти их список в RFC JWT. Вот некоторые из наиболее часто используемых:
Публичные претензии можно определять по своему усмотрению. Однако они не могут совпадать с зарегистрированными претензиями или претензиями уже существующих публичных претензий. Вы можете создавать частные претензии по желанию. Они предназначены только для использования двумя сторонами: производителем и потребителем.
Подпись JWT
Подпись JWT — это криптографический механизм, предназначенный для защиты данных JWT с помощью цифровой подписи, уникальной для содержимого токена. Она обеспечивает целостность JWT, чтобы потребители могли убедиться, что она не была взломана злоумышленником.
Подпись JWT — это комбинация трех вещей:
Эти три подписаны цифровой подписью ( не зашифрованы ) с использованием алгоритма, указанного в заголовке JWT. Если мы расшифруем приведенный выше пример, у нас будут следующие строки JSON:
Заголовок JWT
Данные JWT
Попробуйте сами jwt.io, где вы можете поиграть с кодированием и декодированием ваших собственных JWT.
Давайте использовать JWT в приложении на основе PHP
Теперь, когда вы узнали, что такое JWT, пришло время узнать, как использовать их в приложении PHP. Прежде чем мы углубимся, не стесняйтесь клонировать код для этой статьи или следуйте инструкциям и создавайте его по мере продвижения.
Есть много способов подойти к интеграции JWT, но вот как мы это сделаем.
Все запросы к приложению, за исключением страницы входа и выхода, должны быть аутентифицированы через JWT. Если пользователь делает запрос без JWT, он будет перенаправлен на страницу входа.
После того, как пользователь заполнит и отправит форму входа, она будет отправлена через JavaScript в конечную точку входа authenticate.phpв нашем приложении. Затем конечная точка извлечет учетные данные (имя пользователя и пароль) из запроса и проверит, действительны ли они.
Если это так, он сгенерирует JWT и отправит его клиенту. Когда клиент получает JWT, он сохранит его и будет использовать с каждым будущим запросом к приложению.
В упрощенном сценарии пользователь может запросить только один ресурс — файл PHP с подходящим названием resource.php. Он ничего не сделает, просто вернет строку, содержащую текущую временную метку на момент запроса.
Есть несколько способов использовать JWT при выполнении запросов. В нашем приложении JWT будет отправлен в заголовке авторизации Bearer.
Если вы не знакомы с авторизацией на предъявителя, это форма HTTP-аутентификации, при которой токен (например, JWT) отправляется в заголовке запроса. Сервер может проверить токен и определить, следует ли предоставить доступ «носителю» токена.
Вот пример заголовка:
Authorization: Bearer ab0dde18155a43ee83edba4a4542b973
Для каждого запроса, полученного нашим приложением, PHP будет пытаться извлечь токен из заголовка Bearer. Если он присутствует, то он подтверждается. Если он действителен, пользователь увидит нормальный ответ на этот запрос. Однако, если JWT недействителен, пользователю не будет разрешен доступ к ресурсу.
Обратите внимание, что JWT не предназначен для замены файлов cookie сеанса.
Предпосылки
Для начала нам нужно, чтобы в наших системах были установлены PHP и Composer.
В корне проекта запустите composer install. Это приведет к включению Firebase PHP-JWT, сторонней библиотеки, которая упрощает работу с JWT, а также ламинаса-config, предназначенного для упрощения доступа к данным конфигурации в приложениях.
Установив библиотеку, давайте пройдемся по коду входа в authenticate.php. Сначала мы выполняем обычную настройку, гарантируя, что автозагрузчик, созданный Composer, доступен.
Затем мы инициализируем набор переменных, которые будут использоваться для создания JWT. Помните, что, поскольку JWT можно проверить на стороне клиента, не включайте в него конфиденциальную информацию.
Когда данные полезной нагрузки готовы к работе, мы затем используем статический encodeметод php-jwt для создания JWT.
Принимает три параметра:
При вызове echoрезультата функции возвращается сгенерированный токен:
const res = await fetch(’/authenticate.php’, <
’Content-type’: ’application/x-www-form-urlencoded; charset=UTF-8′
if (res.status >= 200 && res.status <
const res = await fetch(’/resource.php’, <
const timeStamp = await res.text();
Когда мы нажимаем кнопку, делается запрос, подобный следующему:
GET /resource.php HTTP/1.1
Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpYXQiOjE0MjU1ODg4MjEsImp0aSI6IjU0ZjhjMjU1NWQyMjMiLCJpc3MiOiJzcC1qd3Qtc2ltcGxlLXRlY25vbTFrMy5jOS5pbyIsIm5iZiI6MTQyNTU4ODgyMSwiZXhwIjoxNDI1NTkyNDIxLCJkYXRhIjp7InVzZXJJZCI6IjEiLCJ1c2VyTmFtZSI6ImFkbWluIn19.HVYBe9xvPD8qt0wh7rXI8bmRJsQavJ8Qs29yfVbY-A0
Предполагая, что JWT действителен, мы увидим ресурс, после чего ответ будет записан в консоль.
Наконец, давайте посмотрим, как мы можем проверить токен в PHP. Как всегда, мы включили автозагрузчик Composer. Затем мы могли бы, при желании, проверить, был ли использован правильный метод запроса. Я пропустил код, чтобы продолжить работу с кодом, специфичным для JWT:
header(’HTTP/1.1 401 Unauthorized’);
Если токен недействителен, потому что, например, срок действия токена истек, пользователю будет отправлен заголовок HTTP 401 Unauthorized, и сценарий завершится.
Если процесс декодирования JWT завершился неудачно, это могло быть так:
Количество предоставленных сегментов не соответствовало трем стандартным, как описано ранее.
Потребление JWT
Теперь, когда у клиента есть токен, вы можете сохранить его с помощью JavaScript или любого другого механизма, который вам больше нравится. Вот пример того, как это сделать с помощью ванильного JavaScript. В index.htmlпосле успешного представления формы, возвращаемая JWT хранятся в памяти, форма Логина скрыта, и отображается кнопка для запроса метки:
Использование JWT
При нажатии кнопки «Получить текущую отметку времени» выполняется запрос GET resource.php, который устанавливает JWT, полученный после аутентификации, в заголовке авторизации.
Когда мы нажимаем кнопку, делается запрос, подобный следующему:
Предполагая, что JWT действителен, мы увидим ресурс, после чего ответ будет записан в консоль.
Проверка JWT
Наконец, давайте посмотрим, как мы можем проверить токен в PHP. Как всегда, мы включили автозагрузчик Composer. Затем мы могли бы, при желании, проверить, был ли использован правильный метод запроса. Я пропустил код, чтобы продолжить работу с кодом, специфичным для JWT:
Затем код попытается извлечь токен из заголовка Bearer. Я сделал это с помощью preg_match. Если вы не знакомы с функцией, она выполняет сопоставление регулярного выражения в строке.
Регулярное выражение, которое я использовал здесь, будет пытаться извлечь токен из заголовка Bearer и сбросить все остальное. Если он не найден, возвращается неверный запрос HTTP 400:
Обратите внимание, что по умолчанию, Apache не будет проходить в HTTP_AUTHORIZATIONзаголовок PHP.
Заголовок базовой авторизации является безопасным только в том случае, если ваше соединение выполняется через HTTPS, поскольку в противном случае учетные данные отправляются в виде закодированного простого текста (не зашифрованного) по сети, что является огромной проблемой безопасности.
Я полностью понимаю логику этого решения. Однако, чтобы избежать путаницы, добавьте в конфигурацию Apache следующее. Тогда код будет работать должным образом. Если вы используете NGINX, код должен работать должным образом:
Если мы дойдем до этого момента, JWT был извлечен, поэтому мы перейдем к этапу декодирования и проверки. Для этого нам снова понадобится наш секретный ключ, который будет извлечен из среды или конфигурации приложения. Затем мы используем статический decodeметод php-jwt, передавая ему JWT, секретный ключ и массив алгоритмов для декодирования JWT.
Если он может быть успешно декодирован, мы затем пытаемся его проверить. Пример, который у меня здесь, довольно упрощен, поскольку он использует только эмитента, а не временные метки до и истечения срока действия. В реальном приложении вы, вероятно, также использовали бы ряд других утверждений.
Если токен недействителен, потому что, например, срок действия токена истек, пользователю будет отправлен заголовок HTTP 401 Unauthorized, и сценарий завершится.
Если процесс декодирования JWT завершился неудачно, это могло быть так:
Если процесс декодирования и проверки завершится успешно, пользователю будет разрешено сделать запрос, и ему будет отправлен соответствующий ответ.
Заключение
Это краткое введение в веб-токены JSON или JWT и способы их использования в приложениях на основе PHP. С этого момента вы можете попробовать реализовать JWT в своем следующем API, возможно, попробовав некоторые другие алгоритмы подписи, которые используют асимметричные ключи, такие как RS256, или интегрируя его в существующий сервер аутентификации OAUTH2 в качестве ключа API.
Authorization header missing in PHP POST request
I’m currently trying to read the authorization header in a PHP script that I’m calling with a POST request. The Authorization header is populated with a token. It seems the Authorization header is somehow removed before it arrives at my PHP script. I’m executing the post request with Postman (Chrome addon) and I enabled CORS in my PHP script. I don’t have access to the apache server directly.
The above script outputs » (= nothing).
9 Answers 9
I had first to add this to my machines Apache config file:
On Linux in /etc/apache2/apache2.conf
On Mac using Homebrew in /usr/local/etc/httpd/httpd.conf
On Mac with «native» Apache: /private/etc/apache2/httpd.conf or: /etc/apache2/httpd.conf
if you use WHM + CPanel + PHP and if your show result like this here missing Authorization
Now just flow these steps.
Step 2: add in your PHP file like index.php
You can use anyone.
Step 3: go to WHM Panel and flow this navigation
and Restart Apache Server (if not restart the server then not working properly)
Step 4: My Result Show
this work has done. after you flow these steps and again show the same error please comment here
This directive is part of the apache core and doesn’t require any special module to be enabled. See the documentation here.
The problem happens when using php-fpm with apache (as oposed to using the php module directly in apache).
This is a security measure that prevents sensitive data to be transfered from apache to php through fcgi.
In my opinion, all other solutions that involve setting the HTTP_AUTHORIZATION environment variable through SetEnvIf or with RewriteRule s are workarounds and don’t solve the root problem.
I tested this solution in 2021 with php7.4.
Регистрация и авторизация в php с JSON Web Token
Сегодня мы реализуем форму регистрации, входа, выхода и обновления учётной записи пользователя, используя JSON Web Token.
1. Что такое JWT
Токены будут создаваться на сервере, подписываться секретным ключом с последующей передачей клиенту для подтверждения своей личности.
Информация будет надёжно защищена, т.к. она будет иметь цифровую подпись.
Пример: сервер генерирует токен «пользователь вошёл как администратор» и предоставляет его клиенту. Затем клиент использует этот токен для доказательства того, он он вошёл «как администратор».
2. Файловая структура
3. Настройка базы данных
Создадим базу данных api_db, а в ней таблицу users.
Таблица следующего вида:
Создадим папку для проекта authentication-jwt
Я буду использовать OpenServer, поэтому папку проекта я создам в следующей директории:
Будем считать, что у вас уже структура подготовлена (смотрите п.2).
Добавим в него следующий код:
4. Создание API для регистрации пользователей
Нам нужно установить заголовки, чтобы файл для создания пользователей принимал только данные JSON
В папке api в файл create_user.php добавим следующий код
Информация о пользователе будет отправлена через HTML-форму и JavaScript код. Мы увидим это позже. Нам необходимо назначить отправляемые данные в свойствах объекта, такие как имя, фамилия и т.п.
Замените комментарий // отправляемые данные будут здесь в файле create_user.php следующим кодом:
Мы будем использовать метод create(), который сообщит нам о том, был создан пользователь или нет.
Замените комментарий // здесь будет метод create() в файле create_user.php следующим кодом:
Создание объекта класса User
Предыдущий файл не будет работать без объекта класса user
Откройте api/objects/user.php и внесите следующий код:
Тестирование API
Нам нужно использовать POSTMAN для тестирования нашего API. Скачать его можно здесь
Сначала мы проверим успешность создания пользователя. Запустим POSTMAN.
Введём следующий URL запрос
Нажмите Body, затем raw и вставьте следующее значение JSON
Нажмите кнопку Send. Если сделали верно, должны увидеть следующее:
Чтобы проверить ошибку создания пользователя, просто удалите значение пароля и нажмите кнопку «Send»
5. Создание API для входа пользователей
В приведенном ниже коде установим заголовки, чтобы файл знал откуда должен поступить запрос и какой тип данных принимается
Откроем файл api/login.php и поместим в него следующий код
Мы сравним электронную почту пользователя и пароль из базы данных, поэтому нам нужно подключение к БД.
Нам также нужно создать экземпляр пользовательской таблицы, это позволит нам проверить, существует ли электронная почта, и прочитать хешированный пароль.
Замените комментарий // здесь будет соединение с БД в файле login.php следующим кодом:
Проверка на существование e-mail
Добавим метод emailExists() в наш класс объектов User
Замените комментарий // здесь будет метод emailExists() в файле /api/objects/user.php следующим кодом
Создание JWT (JSON web token)
Заменим комментарий // файлы для JWT будут здесь в файле api/login.php на следующий код
Создание файла конфигурации (ядра)
Откроем api/config/core.php и добавим следующий код
Скачайте библиотеку PHP-JWT c GitHub’а
Скопируйте содержимое библиотеки в api/libs/
Тест входа в систему
Введём следующий URL запрос
В Body вставьте следующее значение JSON
Нам нужно сохранить сгенерированный JWT чтобы потом его использовать для проверки
Для проверки на неудачный вход в систему измените значение пароля на 222 (это неверный пароль)
6. Создание API для валидации JWT
Приступим к наполнению файла api/validate_token.php
Установим правильные заголовки. Этот файл вернет вывод в формате JSON и примет запросы от указанного URL
Тест на успешный доступ
Введём следующий URL
Введите JSON токен, который мы получили ранее. Приведенный ниже токен JSON отличается от вашего.
Так должно выглядеть в POSTMAN
Чтобы проверить наличие неудачного доступа, просто добавьте слово «EDITED» в свой JWT. Это сделает JWT неправильным и приведет к отказу в доступе. Это должно выглядеть так.
7. Создание API для учетных записей пользователей
Откроем api/update_user.php и вставим следующий код
Создание метода Update()
Выполним запрос UPDATE, очистку данных и привязку
Замените комментарий // здесь будет метод update() в файле /api/objects/user.php следующим кодом
Повторная генерация JWT
Замените комментарий // сгенерировать заново JWT здесь в файле /api/update_user.php следующим кодом
Тест успешного обновления пользователя
Введём следующий URL в POSTMAN
В разделе Body изменим информацию о текущем пользователе с помощью веб-токена JSON, который мы получили ранее (и сохранили).
Должно выглядеть примерно так
При обновлении информации о пользователе происходит генерация нового токена JWT
Чтобы проверить, не удалось ли обновить пользователя, вы можете просто добавить слово EDITED в правленную JWT, или просто удалить JWT. Это должно выглядеть следующим образом.
8. Создание интерфейса для регистрации пользователей
Мы будем использовать API, которые мы создали ранее. Все необходимые коды будут в одном файле index.html с использованием HTML, CSS и JavaScript.
Создадим файл custom.css который мы подключили в шапке, со следующим содержимым
Показать HTML форму регистрации
Когда вы нажмёте на меню «Регистрация» на навигационной панели, отобразится форма регистрации
Замените комментарий здесь будет jQuery код следующим кодом
Нам нужно обработать данные формы, когда она будет отправлена.
Замените комментарий // выполнение кода при отправке формы следующим кодом
9. Создание интерфейса для входа пользователей
Если щёлкнуть на меню «Вход» на панели навигации, отобразится форма входа.
Замените комментарий // показать форму входа при клике на кнопку следующим кодом
Замените комментарий // функция showLoginPage() следующим кодом
Замените комментарий // serializeObject будет здесь следующим кодом
10. Создание интерфейса домашней страницы
Замените комментарий // показ домашней страницы следующим кодом
Замените комментарий // здесь будет функция showHomePage() следующим кодом
11. Создание интерфейса для страницы аккаунта пользователя
Замените комментарий // показать форму обновления аккаунта следующим кодом
Замените комментарий // здесь будет функция showUpdateAccountForm() следующим кодом
Если вам понравилась данная статья, рекомендую к прочтению:
1) пошаговое руководство по созданию простого REST API в php (часть 1).
2) jQuery + AJAX + JSON + PHP (часть 2).
Надеюсь, вам понравилась данная информация. Если вам интересна тема web-разработки, то можете следить за выходом новых статей в Telegram.
How to set the authorization header using cURL
How do I pass authorization header using cURL? ( executable in /usr/bin/curl ).
11 Answers 11
See part 6. HTTP Authentication
HTTP Authentication is the ability to tell the server your username and password so that it can verify that you’re allowed to do the request you’re doing. The Basic authentication used in HTTP (which is the type curl uses by default) is plain text based, which means it sends username and password only slightly obfuscated, but still fully readable by anyone that sniffs on the network between you and the remote server.
To tell curl to use a user and password for authentication:
Sometimes your HTTP access is only available through the use of a HTTP proxy. This seems to be especially common at various companies. A HTTP proxy may require its own user and password to allow the client to get through to the Internet. To specify those with curl, run something like:
If you use any one these user+password options but leave out the password part, curl will prompt for the password interactively.
Do note that when a program is run, its parameters might be possible to see when listing the running processes of the system. Thus, other users may be able to watch your passwords if you pass them as plain command line options. There are ways to circumvent this.
It is worth noting that while this is how HTTP Authentication works, very many web sites will not use this concept when they provide logins etc. See the Web Login chapter further below for more details on that.
Как получить Bearer токен?
Здравствуйте.
В приложении используется Passport. При авторизации авторизации с фронтенда на бэкенд отправляется POST localhost/oauth/token с данными:
И приходит такой ответ:
Фронтенд запоминает в куку Bearer токен и отправляет его в остальных запросах за данными.
Сейчас же нужно реализовать функционал чтобы войти супер админом можно было под разными клиентами. Пароля клиентов нет и поэтому использовать /oauth/token не получится.
Как я понимаю это access_token, который я получаю используя трейт HasApiToken.
Но этот токен(80 кол-во символов) сильно отличается от Bearer токена (999 кол-во символов) и через него запросы за данными не работают.
Может быть я не совсем корректно понимаю как работает oauth 2 но подскажите пожалуйста как зная access token получить Bearer token?
Разобрался.
Создал personal access token
И получаю access_token таким образом
Беглый осмотр доков подсказывает, что вам необходимо реализовать провайдера, который по скоупу (scope) будет выдавать вам Bearer-токен или нет.
В гугл-продуктах, например, не требуется создавать своих провайдеров, а можно для указанных учетных записей задать роли, если такая учетка будет запрашивать действие (ну например, СкачатьГуглДок()), то в соответствии с настройками ролей, Bearer будет выдан или нет). Scope при этом указывается в виде url- для гугл-док-апи.
Надеюсь, работа OAuth2 стала яснее для Вас.