Php авторизация: Как сделать авторизацию на PHP? Пишем авторизацию пользователя

Потребление JWT

Теперь, когда у клиента есть токен, вы можете сохранить его с помощью JavaScript или любого другого механизма, который вам больше нравится.Вот пример того, как это сделать с помощью ванильного JavaScript. В файле index.html после успешной отправки формы возвращенный JWT сохраняется в памяти, форма входа скрыта и отображается кнопка для запроса метки времени:

  const store = {};
const loginButton = document. querySelector ('# frmLogin');
const btnGetResource = document.querySelector ('# btnGetResource');
const form = document.forms [0];


store.setJWT = function (data) {
  this.JWT = данные;
};

loginButton.addEventListener ('отправить', async (e) => {
  e.preventDefault ();

  const res = await fetch ('/ authenticate.php', {
    метод: 'POST',
    заголовки: {
      'Content-type': 'application / x-www-form-urlencoded; charset = UTF-8 '
    },
    body: JSON.stringify ({
      имя пользователя: form.inputEmail.value,
      пароль: form.inputPassword.value
    })
  });

  if (res.status> = 200 && res.status <= 299) {
    const jwt = ждать res.text ();
    store.setJWT (jwt);
    frmLogin.style.display = 'нет';
    btnGetResource.style.display = 'блок';
  } еще {
    
    console.log (res.status, res.statusText);
  }
});
  

Использование JWT

При нажатии кнопки «Получить текущую отметку времени» выполняется запрос GET к resource.php , который устанавливает JWT, полученный после аутентификации, в заголовке авторизации.

  btnGetResource.addEventListener ('щелчок', async (e) => {
  const res = await fetch ('/ resource.php', {
    заголовки: {
      'Авторизация': `Магазин на предъявителя $ {.JWT} `
    }
  });
  const timeStamp = ждать res.text ();
  console.log (отметка времени);
});
  

Когда мы нажимаем на кнопку, делается запрос, подобный следующему:

  GET /resource.php HTTP / 1.1
Хост: yourhost.com
Подключение: keep-alive
Принимать: */*
X-Requested-с: XMLHttpRequest
Авторизация: Знаменосец eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpYXQiOjE0MjU1ODg4MjEsImp0aSI6IjU0ZjhjMjU1NWQyMjMiLCJpc3MiOiJzcC1qd3Qtc2ltcGxlLXRlY25vbTFrMy5jOS5pbyIsIm5iZiI6MTQyNTU4ODgyMSwiZXhwIjoxNDI1NTkyNDIxLCJkYXRhIjp7InVzZXJJZCI6IjEiLCJ1c2VyTmFtZSI6ImFkbWluIn19.HVYBe9xvPD8qt0wh7rXI8bmRJsQavJ8Qs29yfVbY-A0
  

Предполагая, что JWT действителен, мы увидим ресурс, после чего ответ будет записан в консоль.

Проверка JWT

Наконец, давайте посмотрим, как мы можем проверить токен в PHP. Как всегда, мы добавили автозагрузчик Composer. Затем мы могли бы, при желании, проверить, был ли использован правильный метод запроса. Я пропустил код, чтобы продолжить, чтобы сосредоточиться на коде, специфичном для JWT:

  if (! Preg_match ('/ Bearer \ s (\ S +) /', $ _SERVER ['HTTP_AUTHORIZATION'], $ соответствует)) {
    заголовок ('HTTP / 1.0 400 Bad Request ');
    echo 'Токен не найден в запросе';
    выход;
}
  

Я полностью понимаю логику этого решения.(. +) $
RewriteRule. * - [E = HTTP_AUTHORIZATION:% {HTTP: Authorization}]


Затем мы пытаемся извлечь совпавший JWT, который будет во втором элементе переменной $ match . Если он недоступен, значит, JWT не был извлечен, и возвращается неверный запрос HTTP 400:

.

  $ jwt = $ соответствует [1];
if (! $ jwt) {
    
    заголовок ('HTTP / 1.0 400 Bad Request');
    выход;
}
  

Если мы дойдем до этого момента, JWT был извлечен , поэтому мы переходим к этапу декодирования и проверки.Для этого нам снова понадобится наш секретный ключ, который будет извлечен из среды или конфигурации приложения. Затем мы используем статический метод decode в php-jwt, передавая ему JWT, секретный ключ и массив алгоритмов для декодирования JWT.

Если его удается успешно декодировать, мы пытаемся его проверить. Пример, который у меня здесь, довольно упрощен, поскольку он использует только эмитента, а не временные метки до и истечения срока действия. В реальном приложении вы, вероятно, также будете использовать ряд других утверждений.

  $ secretKey = 'bGS6lzFqvvSQ8ALbOxatm7 / Vk7mLQyzqaS34Q4oR1ew =';
$ token = JWT :: decode ($ jwt, $ secretKey, ['HS512']);
$ сейчас = новый DateTimeImmutable ();
$ serverName = "your.domain.name";

if ($ token-> iss! == $ serverName ||
    $ token-> nbf> $ now-> getTimestamp () ||
    $ токен-> exp <$ сейчас-> getTimestamp ())
{
    заголовок («HTTP / 1.1 401 Unauthorized»);
    выход;
}
  

Если токен недействителен, потому что, например, срок действия токена истек, пользователю будет отправлен заголовок HTTP 401 Unauthorized, и сценарий завершится.

Если процесс декодирования JWT завершился неудачно, это могло быть так:

• Количество предоставленных сегментов не соответствует стандартным трем, как описано ранее.
• Заголовок или полезные данные не являются допустимой строкой JSON
• Подпись недействительна, значит, данные были подделаны!
• Требование nbf устанавливается в JWT с меткой времени, когда текущая метка времени меньше этого.
• Утверждение iat устанавливается в JWT с меткой времени, если текущая метка времени меньше этого значения.
• Требование exp устанавливается в JWT с меткой времени, когда текущая метка времени больше этого.

Как видите, JWT имеет хороший набор элементов управления, которые помечают его как недопустимый, без необходимости вручную отозвать его или сверять со списком допустимых токенов.

Если процесс декодирования и проверки завершится успешно, пользователю будет разрешено сделать запрос, и ему будет отправлен соответствующий ответ.

В заключение

Это краткое введение в веб-токены JSON или JWT и их использование в приложениях на основе PHP.С этого момента вы можете попробовать реализовать JWT в своем следующем API, возможно, попробовав некоторые другие алгоритмы подписи, которые используют асимметричные ключи, такие как RS256, или интегрируя его в существующий сервер аутентификации OAUTh3 в качестве ключа API.

Если у вас есть какие-либо комментарии или вопросы, не стесняйтесь обращаться к нам в Twitter.

микросервисов PHP: аутентификация и авторизация | Девин Диксон | Helium MVC

Из-за сложности микросервисов, безопасность становится более сложной проблемой, потому что существует так много областей для решения этой проблемы:

• На сетевом уровне, который обычно включает частные сети, VPN и т. Д.
• Если Restful API, на конечной точке и обычно выполняется с помощью OAuth или JSON WebTokens
• На уровне приложения, который проверяет связь между микросервисами

В этом руководстве ТОЛЬКО будет сосредоточено на безопасной передаче информации между микросервисами с использованием аутентификации токена. Токен будет одноразовым токеном, а также будет разрешать действия.

Код этого руководства доступен по адресу: https://github.com/ProdigyView-Toolkit/Microservices-Examples-PHP

Используйте папку с именем security и следуйте инструкциям README.

Это руководство является продолжением предыдущих руководств по PHP и микросервисам. Предлагается понять концепции, пытаясь изучить информацию, обсуждаемую здесь.

Сначала мы кратко резюмируем аутентификацию и авторизацию.Аутентификация - это процесс проверки учетных данных пользователя. Входит ли пользователь в систему и совпадает ли его имя пользователя с паролем? Авторизация - это то, какие разрешения у них есть в системе. Могут ли они создать пользователя, отправить электронное письмо, получить доступ к конфиденциальным данным?

Аутентификация и авторизация в этом руководстве будут проходить следующим образом:

1. Отправьте логин и пароль в службу аутентификации
2. Получите обратно токен
3. Отправьте этот токен в платежную службу
4. Платежная служба проверяет аутентификацию service, что токен действителен и имеет правильные разрешения.
5. Выполнить обработку платежа.

. Отличным вариантом использования такого рода безопасности является то, что вы беспокоитесь о публичном доступе к вашим услугам.Например, если вы использовали Heroku для создания множества микросервисов, существует потенциальный риск воздействия на сети, которые вы не контролируете. Такой подход поможет предотвратить использование вашего сервиса нежелательными третьими сторонами.

В этом руководстве мы создадим платежный шлюз, доступ к которому должен осуществляться с помощью действующего токена. Платежные сервисы, такие как Braintree и Stripe, часто возвращают одноразовый номер. Одноразовые значения обычно возвращаются веб-клиентам, а веб-клиент передает их вашему бэкэнду, который выполняет фактическую платежную транзакцию.В нашем client.php наша команда curl, представляющая отправку nonce из веб-клиента:

В отличие от других руководств, где у нас был Restful CRUD API с несколькими файлами, в этом руководстве у нас есть один index. php , который действует как Frontend Controller. Определение маршрута после публикации в этом руководстве намного проще:

Подводя итог, запросы CURL отправляют данные на index.php , которые затем перенаправляются на наш первый микросервис!

К кодированию! На первом этапе мы займемся возможностью войти в систему и получить токен.Класс для обработки этого процесса называется AuthBearer , и у него будет две функции. Первая функция - взять имя пользователя и пароль и передать их серверу аутентификации.

При успешном входе в систему будет получен токен. Если вход в систему не прошел, будет возвращено false. Теперь мы собираемся закодировать службу аутентификации.

Служба аутентификации будет построена на нескольких функциях. Мы постараемся максимально приблизить это к функциональной программе.Мы рассмотрим функциональное программирование и тестирование в следующем руководстве.

Начнем с добавления фиктивных данных в виде «базы данных» , в которой хранятся логины, пароли и привилегии.

Для простоты мы храним пароли в виде обычного текста, но в реальной среде пароли должны быть хешированы. Часть привилегий представляет «авторизацию» того, какой доступ будет иметь логин. Когда сообщение получено, нам нужно будет проверить, кем они являются:

Поскольку в этом руководстве основное внимание уделяется аутентификации и авторизации токена, мы собираемся создать токен как таковой:

Поскольку мы не можем хранить данные в В нашем примере мы собираемся использовать фиктивный токен.Но на производстве мы хотим создать уникальный токен. Функция Security в Prodigyview является абстракцией собственных функций PHP7 bin2hex (random_bytes (64)) . Мы используем это, чтобы гарантировать уникальность нашего токена.

 AuthBearer :: hasAccess ($ data ['token'], $ action) 

Функция hasAccess приведена ниже:

Вернувшись в службу аутентификации, нам нужно проверить токен. Проверка будет проверять как время, так и привилегии. Он начинается с этой функции, которая является оболочкой для функции hasExpired и checkPrivileges .

hasExpired Функция проверяет, действителен ли токен по времени

Функция checkPrivileges проверяет, имеет ли токен авторизацию

Токен возвращается из службы аутентификации, и, если токен действителен, мы можем выполнить платеж. Если он недействителен, служба может вернуть сообщение об ошибке, указывающее на наличие проблемы.

Теперь у нас есть успешная аутентификация токена между службами в вашей системе! Чтобы просмотреть полный код и пример, который вы можете запустить на своем локальном компьютере, посетите: https: // github.com / ProdigyView-Toolkit / Microservices-Examples-PHP

Весь код будет находиться в папке security с инструкциями по запуску примеров.

В нашем следующем руководстве используется тот же код и объясняются две скрытые жемчужины, которые были включены в это руководство: функциональное программирование и модульное тестирование с помощью микросервисов.

Маркер в этом руководстве используется только для связи между микросервисами с помощью сокетов. Можно ли использовать токен для связи между конечными точками REST API?

Как отправить запрос GET с заголовком авторизации токена-носителя?

Код PHP для примера заголовка авторизации токена носителя запроса GET

Этот фрагмент кода PHP был сгенерирован автоматически для примера заголовка авторизации токена носителя запроса GET.
<< Назад к примеру заголовка авторизации токена носителя запроса GET

Что такое аутентификация на носителе?

HTTP обеспечивает основу для управления доступом к защищенным ресурсам. HTTP-аутентификация выполняется путем отправки учетных данных аутентификации в заголовке авторизации для получения доступа к защищенному ресурсу. Аутентификация на предъявителя (также называемая аутентификацией токена) - это одна из схем аутентификации HTTP, которую можно понимать как предоставление доступа носителю этого токена.Аутентификация токена-носителя выполняется путем отправки токена безопасности с каждым HTTP-запросом, который мы делаем к серверу.

  Авторизация: токен-носитель {токен}  

Токен-носитель - это зашифрованная строка, которая сама по себе не имеет значения и не используется, но становится важной в рамках надлежащей системы токенизации. Маркер-носитель обычно генерируется сервером в ответ на запрос входа в систему и сохраняется в сеансе браузера или в локальном хранилище.

Если ваш запрос не включает заголовок авторизации или содержит недопустимый токен носителя, сервер может ответить кодом состояния 401 (Неавторизованный) и предоставить информацию о том, как пройти аутентификацию с использованием заголовка WWW-Authenticate.

Схема аутентификации носителя изначально была создана как часть OAuth 2.0 в RFC6750, но иногда также используется сама по себе. По соображениям безопасности токен-носитель следует отправлять только через соединения HTTPS (SSL).

Пример аутентификации токена-носителя

Пример HTTP-запроса GET с заголовком аутентификации токена-носителя, который мы отправляем на URL-адрес echo ReqBin.

Пример аутентификации токена носителя

  GET / echo / get / json HTTP / 1.1
Авторизация: предъявитель {токен}
Хост: reqbin.ком
  

См. Также HTTP-аутентификация, POST JSON с заголовком авторизации токена-носителя и запрос Curl с заголовком авторизации токена-носителя.

Создание фрагментов кода для PHP и других языков программирования

Преобразуйте запрос заголовка авторизации токена носителя запроса GET в фрагменты кода PHP, JavaScript / AJAX, Curl / Bash, Python, Java, C # /. NET с помощью генератора кода PHP.

Аутентификация пользователей с помощью PHP | Google Cloud

Фон

В этом руководстве для аутентификации пользователей используется IAP.Это только один из нескольких возможных подходов.
Узнать больше
о различных методах аутентификации пользователей см.
Раздел концепций аутентификации.

Hello

адрес электронной почты пользователя приложение

Приложение для этого руководства представляет собой минимальное приложение Hello world App Engine,
с одной нетипичной особенностью: вместо "Hello world" отображается
"Привет адрес электронной почты пользователя ", где
адрес электронной почты пользователя является аутентифицированным
адрес электронной почты пользователя.

Эта функция возможна при проверке аутентифицированной информации.
который IAP добавляет к каждому веб-запросу, передаваемому вашему приложению.
Есть
три новых заголовка запроса добавляются к каждому веб-запросу, который достигает ваше приложение.
Первые два заголовка представляют собой простые текстовые строки, которые можно использовать для
идентифицировать пользователя. Третий заголовок - это объект с криптографической подписью.
с той же информацией.

• X-Goog-Authenticated-User-Email : их идентифицирует адрес электронной почты пользователя.Не храните личную информацию, если ваше приложение может этого избежать. Это приложение не
  хранить любые данные; он просто повторяет его пользователю.

• X-Goog-Authenticated-User-Id : этот идентификатор пользователя, присвоенный Google, не
  показывает информацию о пользователе, но позволяет приложению знать
  что вошедший в систему пользователь - это тот же пользователь, которого видели ранее.

• X-Goog-Iap-Jwt-Assertion : вы можете настроить приложения Google Cloud
  принимать веб-запросы от других облачных приложений, минуя
  IAP, в дополнение к веб-запросам в Интернете.Если приложение такое
  настроен, такие запросы могут иметь поддельные заголовки.
  Вместо использования любого из ранее упомянутых текстовых заголовков вы
  может использовать и проверить этот криптографически подписанный заголовок, чтобы проверить, что информация
  был предоставлен Google. И адрес электронной почты пользователя, и постоянный
  ID пользователя доступны как часть этого подписанного заголовка.

Если вы уверены, что приложение настроено так, что только Интернет
веб-запросы могут достичь его, и что никто не может отключить IAP
сервис для приложения, то получение уникального идентификатора пользователя занимает всего одну строку
кода:

  $ userId = getallheaders () ['X-Goog-Authenticated-User-Id'] ?? ноль;
  

Примечание: getallheaders
функция доступна только для NGINX в PHP 7. 3 или новее.

Однако устойчивое приложение должно ожидать, что что-то пойдет не так, в том числе
неожиданная конфигурация или проблемы с окружающей средой, поэтому мы рекомендуем
создание функции, которая использует и проверяет заголовок с криптографической подписью.
Подпись этого заголовка нельзя подделать, и после проверки ее можно использовать для
вернуть удостоверение личности.

Создайте исходный код

1. С помощью текстового редактора создайте файл с именем index.php и вставьте
   в нем следующий код:

   Это индекс .php подробно объясняется в
   Понимание кода
   раздел далее в этом руководстве.

2. Создайте еще один файл с именем composer.json и вставьте следующий
   в нее:

   В файле composer. json перечислены все библиотеки PHP, необходимые вашему приложению.
   App Engine для загрузки:

3. Создайте файл с именем app.yaml и поместите в него следующий текст:

   Приложение .yaml сообщает App Engine, в какой языковой среде используется ваш код.
   требует.

Понимание кода

В этом разделе объясняется, как работает код в файле index.php . Если ты просто хочешь бежать
приложение, вы можете перейти к
Разверните приложение
раздел.

Следующий код находится в файле index.php . Когда HTTP GET запрос на
домашняя страница
полученный приложением, вызывается корпус переключателя для /:

Оператор switch получает значение заголовка утверждения JWT, которое IAP
добавляется из входящего запроса и вызывает функцию для проверки этого
криптографически подписанное значение. Первое возвращенное значение (адрес электронной почты) затем используется в
минимальная веб-страница, которую он создает и возвращает.

Функция validate_assertion использует библиотеку google / auth для проверки того, что
утверждение правильно подписано, и для извлечения информации о полезной нагрузке из
утверждение. Если утверждение не может быть декодировано, функция выдает
исключение. В случае успеха функция возвращает электронную почту аутентифицированного пользователя.
адрес и постоянный уникальный идентификатор пользователя.

Проверка утверждения JWT требует знания сертификатов открытых ключей
субъект, подписавший утверждение (в данном случае Google), и аудитория
утверждение предназначено для. Для приложения App Engine аудитория
строка с идентификационной информацией проекта Google Cloud.
Эта функция получает
эти сертификаты и строка аудитории из предшествующих ей функций.

Вы можете найти числовой идентификатор и название проекта Google Cloud и поместить их в
исходный код самостоятельно, но функция аудитории делает это за вас, запрашивая
стандартная служба метаданных, доступная для каждого приложения App Engine.

Служба метаданных App Engine (и аналогичные службы метаданных для других
Сервисы облачных вычислений Google) выглядит как веб-сайт и запрашивается
стандартные веб-запросы. Однако на самом деле это не внешний сайт, а
внутренняя функция, которая возвращает запрошенную информацию о запущенном
app, поэтому можно безопасно использовать http вместо запросов https .
Он используется для получения текущих идентификаторов Google Cloud, необходимых для определения
Целевая аудитория утверждения JWT.

Развертывание приложения

Теперь вы можете развернуть приложение, а затем включить IAP, чтобы требовать пользователей
для аутентификации, прежде чем они смогут получить доступ к приложению.

1. В окне терминала перейдите в каталог, содержащий файл app.yaml ,
   и разверните приложение в App Engine:

     развертывание приложения gcloud
     

2. При появлении запроса выберите ближайший регион.

3. Когда вас спросят, хотите ли вы продолжить операцию развертывания, введите Y .

   Через несколько минут ваше приложение появится в Интернете.

4. Посмотреть приложение:

     просмотр приложения gcloud
     

   В выводе скопируйте web-site-url , web-адрес
   для приложения.

5. В окне браузера вставьте URL-адрес веб-сайта , чтобы открыть
   приложение.

   Электронная почта не отображается, потому что вы еще не используете IAP, поэтому нет
   информация о пользователе отправляется в приложение.

Включить IAP

Теперь, когда существует экземпляр App Engine, вы можете защитить его с помощью
ИАП:

1. В консоли Google Cloud перейдите на страницу Identity-Aware Proxy .

   Перейти на страницу Identity-Aware Proxy

2. Поскольку вы впервые включили опцию аутентификации для
   этого проекта вы увидите сообщение о том, что вам необходимо настроить свое согласие OAuth
   экран, прежде чем вы сможете использовать IAP.

   Щелкните Настройка экрана согласия .

3. На вкладке OAuth Consent Screen страницы Credentials заполните
   следующие поля:

   • Если ваша учетная запись находится в организации Google Workspace, выберите Внешний
     и щелкните Create . Для начала приложение будет доступно только пользователям, которым вы
     явно разрешить.

   • В поле Application name введите IAP Example .

   • В поле Support email введите свой адрес электронной почты.

   • В поле Авторизованный домен введите часть имени хоста приложения
     URL-адрес, например iap-example-999999.uc.r.appspot.com . Нажмите клавишу Enter
     после ввода имени хоста в поле.

   • В поле Ссылка на домашнюю страницу приложения введите URL-адрес вашего приложения, для
     например, https://iap-example-999999.uc.r.appspot.com/ .

   • В поле строки политики конфиденциальности приложения укажите тот же URL-адрес, что и для
     ссылка на домашнюю страницу в целях тестирования.

4. Нажмите Сохранить . Когда будет предложено создать учетные данные, вы можете закрыть окно.

5. В облачной консоли перейдите на страницу Identity-Aware Proxy .

   Перейти на страницу Identity-Aware Proxy

6. Чтобы обновить страницу, щелкните
   Обновить Обновить . В
   На странице отображается список ресурсов, которые вы можете защитить.

7. В столбце IAP щелкните, чтобы включить IAP для приложения.

8. В браузере снова перейдите по адресу web-site-url .

9. Вместо веб-страницы есть экран входа в систему для аутентификации.
   Когда вы входите в систему, вам отказывают в доступе, потому что IAP не
   иметь список пользователей, которым разрешено использовать приложение.