PHP авторизация с JWT (JSON Web Tokens)

 <?php /* * Code here... */ /* * Extract the key, which is coming from the config file. * * Best suggestion is the key to be a binary string and * store it in encoded in a config file. * * Can be generated with base64_encode(openssl_random_pseudo_bytes(64)); * * keep it secure! You'll need the exact key to verify the * token later. */ $secretKey = base64_decode($config->get('jwtKey')); /* * Encode the array to a JWT string. * Second parameter is the key to encode the token. * * The output string can be validated at http://jwt.io/ */ $jwt = JWT::encode( $data, //Data to be encoded in the JWT $secretKey, // The signing key 'HS512' // Algorithm used to sign the token, see https://tools.ietf.org/html/draft-ietf-jose-json-web-algorithms-40#section-3 ); $unencodedArray = ['jwt' => $jwt]; echo json_encode($unencodedArray); 

JWT::encode() позаботится обо всем (преобразование массива в JSON, создание заголовков, подписание полезной нагрузки и кодирование окончательной строки). Вы захотите сделать свой секретный ключ длинной двоичной строкой, закодировать его в файле конфигурации и никогда не раскрывать его. Иметь его прямо в коде — плохая идея.

Теперь, когда у клиента есть токен, вы можете сохранить его с помощью JS или любого другого механизма, который вам нравится. Вот пример использования jQuery:

 $(function(){ var store = store || {}; /* * Sets the jwt to the store object */ store.setJWT = function(data){ this.JWT = data; } /* * Submit the login form via ajax */ $("#frmLogin").submit(function(e){ e.preventDefault(); $.post('auth/token', $("#frmLogin").serialize(), function(data){ store.setJWT(data.JWT); }).fail(function(){ alert('error'); }); }); }); 

Теперь давайте восстановим ресурс, который защищен нашим механизмом JWT.

При нажатии на кнопку «Получить ресурс >>», если все в порядке, вы должны увидеть изображение в серой области. Давайте используем ajax-вызов для отправки запроса в службу ресурсов:

 $("#btnGetResource").click(function(e){ e.preventDefault(); $.ajax({ url: 'resource/image', beforeSend: function(request){ request.setRequestHeader('Authorization', 'Bearer ' + store.JWT); }, type: 'GET', success: function(data) { // Decode and show the returned data nicely. }, error: function() { alert('error'); } }); }); 

Пожалуйста, обратите внимание на параметр beforeSend . Мы сообщаем jQuery, что перед каждым запросом через этот вызов нам нужно установить заголовок Authorization с содержимым JWT в формате Bearer [JWT] . Поэтому, когда мы нажимаем кнопку, делается следующий запрос:

 GET /resource.php HTTP/1.1 Host: yourhost.com Connection: keep-alive Accept: */* X-Requested-With: XMLHttpRequest Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpYXQiOjE0MjU1ODg4MjEsImp0aSI6IjU0ZjhjMjU1NWQyMjMiLCJpc3MiOiJzcC1qd3Qtc2ltcGxlLXRlY25vbTFrMy5jOS5pbyIsIm5iZiI6MTQyNTU4ODgyMSwiZXhwIjoxNDI1NTkyNDIxLCJkYXRhIjp7InVzZXJJZCI6IjEiLCJ1c2VyTmFtZSI6ImFkbWluIn19.HVYBe9xvPD8qt0wh7rXI8bmRJsQavJ8Qs29yfVbY-A0 

Теперь мы можем увидеть, что такое защищенный ресурс:

Вот как мы проверяем токен в службе ресурсов.

 <?php chdir(dirname(__DIR__)); require_once('vendor/autoload.php'); use Zend\Config\Config; use Zend\Config\Factory; use Zend\Http\PhpEnvironment\Request; /* * Get all headers from the HTTP request */ $request = new Request(); if ($request->isGet()) { $authHeader = $request->getHeader('authorization'); /* * Look for the 'authorization' header */ if ($authHeader) { /* * Extract the jwt from the Bearer */ list($jwt) = sscanf( $authHeader->toString(), 'Authorization: Bearer %s'); if ($jwt) { try { $config = Factory::fromFile('config/config.php', true); /* * decode the jwt using the key from config */ $secretKey = base64_decode($config->get('jwtKey')); $token = JWT::decode($jwt, $secretKey, array('HS512')); $asset = base64_encode(file_get_contents('http://lorempixel.com/200/300/cats/')); /* * return protected asset */ header('Content-type: application/json'); echo json_encode([ 'img' => $asset ]); } catch (Exception $e) { /* * the token was not able to be decoded. * this is likely because the signature was not able to be verified (tampered token) */ header('HTTP/1.0 401 Unauthorized'); } } else { /* * No token was able to be extracted from the authorization header */ header('HTTP/1.0 400 Bad Request'); } } else { /* * The request lacks the authorization token */ header('HTTP/1.0 400 Bad Request'); echo 'Token not found in request'; } } else { header('HTTP/1.0 405 Method Not Allowed'); } 

Я использую Zend\Http\PhpEnvironment\Request чтобы немного упростить работу с извлечением типов HTTP-запросов и заголовков:

 $request = new Request(); if ($request->isGet()) { //Will only process HTTP GET requests. $authHeader = $request->getHeader('authorization'); // ... 

Теперь давайте выясним, есть ли в заголовке авторизации строка JWT:

 /* * Look for the 'authorization' header */ if ($authHeader) { /* * Extract the JWT from the Bearer */ list($jwt) = sscanf( $authHeader->toString(), 'Authorization: Bearer %s'); // MORE CODE } 

Таким образом, переменная $jwt будет содержать содержимое потенциального JWT.

Если вы не хотите иметь дело с заголовками HTTP-авторизации, вы можете выбрать одну из альтернатив: включить токен в запрос в качестве параметра URL:

 GET /resource.php?jwt=eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpYXQiOjE0MjU1ODg4MjEsImp0aSI6IjU0ZjhjMjU1NWQyMjMiLCJpc3MiOiJzcC1qd3Qtc2ltcGxlLXRlY25vbTFrMy5jOS5pbyIsIm5iZiI6MTQyNTU4ODgyMSwiZXhwIjoxNDI1NTkyNDIxLCJkYXRhIjp7InVzZXJJZCI6IjEiLCJ1c2VyTmFtZSI6ImFkbWluIn19.HVYBe9xvPD8qt0wh7rXI8bmRJsQavJ8Qs29yfVbY-A0 HTTP/1.1 Host: yourhost.com Connection: keep-alive Accept: */* X-Requested-With: XMLHttpRequest 

Давайте попробуем декодировать JWT сейчас. Помните секретный ключ, который мы использовали ранее для создания токена? Это жизненно важная часть процесса декодирования здесь:

 $secretKey = base64_decode($config->get('jwtKey')); /* * decode the JWT using the key from config */ $token = JWT::decode($jwt, $secretKey, array('HS512')); 

Если процесс декодирования JWT завершится неудачно, это может быть так:

1. Количество предоставленных сегментов не соответствует стандарту 3, как описано ранее.
2. Заголовок или полезная нагрузка не являются допустимой строкой JSON
3. Подпись недействительна, что означает, что данные были подделаны!
4. Утверждение nbf устанавливается в JWT с отметкой времени, когда текущая отметка времени меньше этой.
5. iat устанавливается в JWT с отметкой времени, когда текущая отметка времени меньше этой.
6. Утверждение exp устанавливается в JWT с отметкой времени, когда текущая отметка времени больше этой.

Как вы можете видеть, JWT имеет хороший набор элементов управления, которые будут помечать его как недействительный, без необходимости вручную отзывать его или сверять со списком допустимых токенов.

Если вам интересно узнать о сигнатуре JWT и подделанных данных, это возможно благодаря криптографическим кодам аутентификации сообщений . Короче говоря, произвольный ввод данных вместе с ключом создаст уникальный «отпечаток» данных. Один только этот отпечаток не может быть возвращен обратно к вводу данных, и малейшее изменение либо ввода данных, либо клавиши приведет к совершенно другому отпечатку.

На данный момент мы можем быть уверены, что JWT является действительным. Кроме того, вы можете проверить, является ли пользователь в токене по-прежнему действительным, если вы являетесь iss токена (из утверждения iss ), или в вашем токене есть встроенные флаги разрешений, а затем проверить их на соответствие действиям, которые запрашивает пользователь. выполнять.

Наконец, мы запрашиваем изображение с lorempixel.com , base64 кодируем его и возвращаем в виде строки ответа json:

 $asset = base64_encode(file_get_contents('http://lorempixel.com/200/300/cats/')); /* * return protected asset */ header('Content-type: application/json'); echo json_encode([ 'img' => $asset ]); 

Если вы хотите поиграть с примером приложения, вы можете проверить репо моего проекта для этой статьи, следовать инструкциям README и более внимательно посмотреть код.

Вывод

С этого момента вы можете попытаться реализовать JWT в своем следующем API, возможно, попробовав некоторые другие алгоритмы подписи, которые используют асимметричные ключи, такие как RS256 или интегрировать его в существующий сервер аутентификации OAUTH2 в качестве ключа API. Все ваши конструктивные отзывы приветствуются, а также любые вопросы или комментарии.