アプリケーション認(rèn)証は、ユーザー名/メールボックスやパスワードなどの資格情報(bào)のみに依存するために使用され、セッションはユーザーがログアウトするまでユーザーのステータスを維持するために使用されました。その後、認(rèn)証APIの使用を開(kāi)始しました。最近、JSON Web Tokens（JWT）がサーバーリクエストの認(rèn)証にますます使用されています。

この記事では、JWTとは何か、JWTベースのユーザーリクエスト認(rèn)証にPHPを使用する方法を紹介します。

キーポイント

1. 認(rèn)証方法の進(jìn)化：この記事では、従來(lái)のセッションからJSON Web Tokens（JWT）の使用まで、ユーザー認(rèn)証方法の進(jìn)化の概要を示しています。セッション管理が行われます。
JWTの利點(diǎn)とアプリケーション：
2. この記事では、情報(bào)やメタデータを保存する能力、OAUTH2との互換性、期限切れのコントロールの提供など、他の認(rèn)証方法よりもJWTの利點(diǎn)を説明し、説明します。 JWTがユーザー認(rèn)証プロセスのセキュリティと柔軟性を高める方法。 PHPの実用的なアプリケーション：この記事では、JWTの生成、使用、検証をカバーするPHPベースのアプリケーションにJWTを?qū)g裝するための包括的なガイドを提供します。これには、詳細(xì)なコードの例と説明が含まれ、読者にJWTベースの認(rèn)証を獨(dú)自のWebプロジェクトに統(tǒng)合するための明確なロードマップを提供します。
3. jwtおよびセッション

まず第一に、なぜ會(huì)話がそれほど良くないのですか？主な理由は3つあります データは、単純なテキストでサーバーに保存されます。データが通常パブリックフォルダーに保存されていなくても、十分なサーバーアクセスを持つ人なら誰(shuí)でもセッションファイルのコンテンツを読み取ることができます。

ファイルシステムの読み取り/書(shū)き込みリクエストが含まれます。セッションが開(kāi)始されるか、そのデータが変更されるたびに、サーバーはセッションファイルを更新する必要があります。アプリがセッションクッキーを送信するたびに同じことが言えます。ユーザーの數(shù)が多い場(chǎng)合、MemcachedやRedisなどの代替セッションストレージオプションを使用しない限り、サーバーが遅くなる可能性があります。

分散/クラスター化アプリケーション。セッションファイルはデフォルトでファイルシステムに保存されるため、利用可能な高度に利用可能なアプリケーション（ロードバランサーやクラスター化されたサーバーなどのテクノロジーが必要）のために、分散またはクラスター化されたインフラストラクチャを構(gòu)築することは困難です。他のストレージメディアと特別な構(gòu)成を?qū)g裝する必要があり、その意味を完全に理解する必要があります。
• jwt

JWTには、以下を含むAPIキーよりも多くの利點(diǎn)があります

• APIキーはランダムな文字列であり、JWTには情報(bào)とメタデータが含まれています。この情報(bào)とメタデータは、ユーザーのID、承認(rèn)データ、およびドメインに対するトークンの有効性など、さまざまなコンテンツを説明する場(chǎng)合があります。
• JWTは、集中的な発行または取り消し機(jī)関を必要としません。
• JWTはOAUTH2と互換性があります。
• JWTデータを確認(rèn)できます。
• JWTは制御の有効期限が切れています。
• JWTは、HTTP認(rèn)証ヘッダーなど、スペースが制約した環(huán)境に適しています。
• データはJavaScriptオブジェクト表記（JSON）形式で転送されます。
• JWTは、base64urlエンコードを使用して表されます。

<code>eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpYXQiOjE0MTY5MjkxMDksImp0aSI6ImFhN2Y4ZDBhOTVjIiwic2NvcGVzIjpbInJlcG8iLCJwdWJsaWNfcmVwbyJdfQ.XCEwpBGvOLma4TCoh36FU7XhUbcskygS81HE1uHLf0E</code>

非対稱アルゴリズムは、秘密鍵を使用してトークンに署名し、公開(kāi)キーを使用してトークンを確認(rèn)します。これらのアルゴリズムは、共有キーが非現(xiàn)実的である場(chǎng)合、または他の當(dāng)事者がトークンの完全性を検証するだけである場(chǎng)合に使用する必要があります。 JWTのペイロード

2番目の文字列はJWTのペイロードです。また、Base64 URLエンコードJSON文字列でもあります。 「宣言」と呼ばれるいくつかの標(biāo)準(zhǔn)フィールドが含まれています。宣言には3種類のタイプがあります：

、

、private。 登録明細(xì)書(shū)は事前に定義されています。 JWTのRFCでそれらのリストを見(jiàn)つけることができます。一般的に使用されるステートメントをいくつか紹介します：

• ISS：発行者の名前または識(shí)別子を含む文字列。他のアプリケーションからトークンを破棄するために使用できるドメイン名にすることができます。
• NBF：トークンは有効な日付とタイムスタンプと見(jiàn)なされるようになります。 IAT以上である必要があります。
• exp：トークンが有効に停止する日付とタイムスタンプ。 IATおよびNBFより大きくする必要があります。
必要に応じて公開(kāi)宣言を定義できます。ただし、登録された聲明や既に存在する公式聲明と同じではありません。好きなようにプライベートステートメントを作成できます。彼らは両方の當(dāng)事者のみです：生産者と消費(fèi)者。
jwtの署名

JWTの署名は、トークンのコンテンツに固有のデジタル署名を使用してJWTのデータを保護(hù)するように設(shè)計(jì)された暗號(hào)化メカニズムです。署名により、JWTの完全性が保証され、ユーザーが悪意のある俳優(yōu)によって改ざんされていないことを確認(rèn)できます。

JWTの署名は、3つのことの組み合わせです

• jwtのヘッダー
• JWTのペイロード
• 秘密の値

これら3つは、JWTヘッダー（非暗號(hào)化されていない）で指定されたアルゴリズムを使用してデジタル署名されています。上記の例をデコードすると、次のJSON文字列が取得されます。

<code>eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpYXQiOjE0MTY5MjkxMDksImp0aSI6ImFhN2Y4ZDBhOTVjIiwic2NvcGVzIjpbInJlcG8iLCJwdWJsaWNfcmVwbyJdfQ.XCEwpBGvOLma4TCoh36FU7XhUbcskygS81HE1uHLf0E</code>

<code>{
    "alg": "HS256",
    "typ": "JWT"
}</code>

PHPベースのアプリケーションでJWTを使用してください

<code>{
    "iat": 1416929109,
    "jti": "aa7f8d0a95c",
    "scopes": [
        "repo",
        "public_repo"
    ]
}</code>

は、セッションCookieを置き換えることを意図していないことに注意してください。 前提條件

まず、システムにPHPと作曲家をインストールする必要があります。

プロジェクトのルートディレクトリで、Composerインストールを?qū)g行します。これにより、JWT操作を簡(jiǎn)素化するサードパーティライブラリであるFirebase Php-JWTと、アプリケーションの構(gòu)成データへのアクセスを簡(jiǎn)素化するためにLaminas-Configが導(dǎo)入されます。

ログインフォーム

ライブラリをインストールした後、Authenticate.phpでログインコードを徐々に記入しましょう。最初に、作曲家によって生成されたオートローダーが利用可能であることを確認(rèn)するために、通常のセットアップを作成します。

<code>eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpYXQiOjE0MTY5MjkxMDksImp0aSI6ImFhN2Y4ZDBhOTVjIiwic2NvcGVzIjpbInJlcG8iLCJwdWJsaWNfcmVwbyJdfQ.XCEwpBGvOLma4TCoh36FU7XhUbcskygS81HE1uHLf0E</code>

<code>{
    "alg": "HS256",
    "typ": "JWT"
}</code>

指摘する価値のあるもう1つのことは、$ SecretKeyがこのように初期化されていないことです。環(huán)境に設(shè)定して抽出したり、PhpDotenvなどのライブラリを使用したり、構(gòu)成ファイルに設(shè)定したりする場(chǎng)合があります。この場(chǎng)合、JWTコードに集中したいので、これを行うことは避けています。

ペイロードデータを準(zhǔn)備した後、次にPHP-JWTの靜的エンコードメソッドを使用してJWTを作成します。

<code>{
    "iat": 1416929109,
    "jti": "aa7f8d0a95c",
    "scopes": [
        "repo",
        "public_repo"
    ]
}</code>

配列をjson

ヘッダーを生成
ペイロードに署名
• 最終文字列のエンコード
• 3つのパラメーターを受け入れます：

ペイロード情報(bào)

key
• トークンに署名するためのアルゴリズム
関數(shù)の結(jié)果でエコーを呼び出すことにより、生成されたトークンを返します：

を使用しています

<code>Authorization: Bearer ab0dde18155a43ee83edba4a4542b973</code>

クライアントがトークンを持っているので、JavaScriptまたは好きなメカニズムを使用して保存できます。ネイティブJavaScriptを使用して操作する方法の例を次に示します。 index.htmlでは、フォームが正常に送信された後、受信したJWTがメモリに保存され、ログインフォームが非表示になり、タイムスタンプが表示されるボタンが表示されます。 jwt

[現(xiàn)在のタイムスタンプの取得]ボタンをクリックすると、承認(rèn)ヘッダーの認(rèn)証後に受け取ったJWTを設(shè)定するResource.phpにgetリクエストが発行されます。

<?php
declare(strict_types=1);

use Firebase\JWT\JWT;

require_once('../vendor/autoload.php');

ボタンをクリックすると、次のようなリクエストが発行されます。

<?php
// 從請(qǐng)求中提取憑據(jù)

if ($hasValidCredentials) {

最後に、PHPでトークンを検証する方法を見(jiàn)てみましょう。いつものように、作曲家のオートローダーを含めます。その後、正しいリクエスト方法が使用されているかどうかを確認(rèn)できます。 JWT固有のコードに焦點(diǎn)を合わせ続けるために、これを行うコードをスキップしました。

$secretKey  = 'bGS6lzFqvvSQ8ALbOxatm7/Vk7mLQyzqaS34Q4oR1ew=';
$issuedAt   = new DateTimeImmutable();
$expire     = $issuedAt->modify('+6 minutes')->getTimestamp();      // 添加60秒
$serverName = "your.domain.name";
$username   = "username";                                           // 從過(guò)濾后的POST數(shù)據(jù)中檢索

$data = [
    'iat'  => $issuedAt->getTimestamp(),         // 頒發(fā)時(shí)間：生成令牌的時(shí)間
    'iss'  => $serverName,                       // 頒發(fā)者
    'nbf'  => $issuedAt->getTimestamp(),         // 不早于
    'exp'  => $expire,                           // 過(guò)期
    'userName' => $username,                     // 用戶名
];

デフォルトでは、ApacheはHTTP_AuthorizationヘッダーをPHPに渡さないことに注意してください。その背後にある理由は、

<?php     // 將數(shù)組編碼為JWT字符串。
    echo JWT::encode(
        $data,
        $secretKey,
        'HS512'
    );
}

基本的な認(rèn)証ヘッダーは、接続がHTTPSで完了した場(chǎng)合にのみ安全です。そうしないと、エンコードされたプレーンテキスト（暗號(hào)化されていない）のネットワークを介してクレデンシャルが送信されるためです。これは大きなセキュリティの問(wèn)題です。

この決定の論理を完全に理解しています。ただし、多くの混亂を避けるために、Apache構(gòu)成に次のことを追加します。その後、コードは予想どおりに機(jī)能します。 nginxを使用している場(chǎng)合、コードは予想どおりに機(jī)能する必要があります：

<code>eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpYXQiOjE0MTY5MjkxMDksImp0aSI6ImFhN2Y4ZDBhOTVjIiwic2NvcGVzIjpbInJlcG8iLCJwdWJsaWNfcmVwbyJdfQ.XCEwpBGvOLma4TCoh36FU7XhUbcskygS81HE1uHLf0E</code>

次に、$ MATCES変數(shù)の2番目の要素になる一致するJWTを抽出しようとします。利用できない場(chǎng)合は、JWTが抽出されず、HTTP 400エラーリクエストが返されます。

<code>{
    "alg": "HS256",
    "typ": "JWT"
}</code>

それが正常にデコードされる可能性がある場(chǎng)合、それを検証しようとします。ここでの私の例は、発行者のみを使用しているため、タイムスタンプよりも早く、期限切れになっているため、非常に簡(jiǎn)単です。実際のアプリケーションでは、他の多くのステートメントを使用することもできます。

<code>{
    "iat": 1416929109,
    "jti": "aa7f8d0a95c",
    "scopes": [
        "repo",
        "public_repo"
    ]
}</code>

• 署名は無(wú)効です。つまり、データは改ざんされています！
• NBF宣言はJWTで設(shè)定されており、そのタイムスタンプは現(xiàn)在のタイムスタンプよりも小さいです。
• IAT宣言はJWTで設(shè)定されており、そのタイムスタンプは現(xiàn)在のタイムスタンプよりも小さいです。
• Exp宣言はJWTで設(shè)定されており、そのタイムスタンプは現(xiàn)在のタイムスタンプよりも大きい。
ご覧のとおり、JWTには、有効なトークンのリストを手動(dòng)で取り消したりチェックしたりすることなく、無(wú)効としてマークできるコントロールの素晴らしいセットがあります。
デコードと検証プロセスが成功した場(chǎng)合、ユーザーはリクエストを発行することが許可され、対応する応答が表示されます。

これは、JSON Webトークン（またはJWT）の簡(jiǎn)単な紹介と、PHPベースのアプリケーションでそれらを使用する方法です。ここから、次のAPIでJWTを?qū)g裝してみてください。RS256などの非対稱キーを使用する他の署名アルゴリズムを試すか、既存のOAUTH2認(rèn)証サーバーに統(tǒng)合してAPIキーとして使用します。 コメントや質(zhì)問(wèn)がある場(chǎng)合は、Twitterからお?dú)葺Xにお問(wèn)い合わせください。

PHPでJWTを使用して、Webアプリケーションで認(rèn)証と承認(rèn)のメカニズムを確立することができます。開(kāi)始するには、Composerを使用して、「Firebase/PHP-JWT」や「Lcobucci/JWT」などのPHP JWTライブラリをインストールする必要があります。これらのライブラリは、JWTを作成、エンコード、デコード、および検証するために必要なツールを提供します。 JWTを作成するには、ライブラリを使用して、発行者、視聴者、有効期限などのステートメントを含むトークンを構(gòu)築できます。作成したら、キーでトークンに署名できます。 JWTを受け取るときは、ライブラリを使用してデコードして検証して、その信ity性を確保することができます。トークンが有効で検証されている場(chǎng)合は、宣言にアクセスしてユーザーのIDとアクセス許可を決定し、PHPアプリケーションに安全な認(rèn)証と承認(rèn)を?qū)g裝できるようにします。 鍵を保護(hù)し、JWTを使用する場(chǎng)合のセキュリティベストプラクティスに従うことは、アプリケーションリソースへの不正アクセスを防ぐために重要です。

PHPのJWT認(rèn)証とは何ですか？

PHPのJWTの代替案は何ですか？

PHP APIをJWT（JSON Webトークン）で保護(hù)するには、認(rèn)証と承認(rèn)を組み合わせたマルチステッププロセスが含まれます。まず、適切なPHP JWTライブラリ（「Firebase/PHP-JWT」や「Lcobucci/JWT」など）を選択して、トークン関連の操作を処理し、コンポーザーを使用して依存関係を管理します。 認(rèn)証のために、PHPアプリケーションにユーザー認(rèn)証システムを?qū)g裝する必要があります。このシステムは、データベースまたは認(rèn)証プロバイダーに対してユーザー資格情報(bào)を検証します。認(rèn)証が成功した後、ユーザーのID、ユーザー名、ロールなどのユーザー関連のクレームを含むJWTトークンを生成します。トークンの有効性を制御するために有効期限を設(shè)定し、キーでトークンに署名してください。この署名されたトークンは、認(rèn)証応答の一部としてクライアントに送り返されます。 クライアントは、通常はHTTP Cookieまたはローカルストレージに、受信したJWTを安全に保存します。その後のAPIリクエストの場(chǎng)合、クライアントは「Bearer」スキームを備えた「承認(rèn)」ヘッダーとして、リクエストヘッダーにJWTを含めます。 PHP APIでは、トークンを作成するときに使用される同じキーを使用してその署名を確認(rèn)することにより、著信JWTを確認(rèn)できます。さらに、トークンが期限切れになっておらず、有効な宣言が含まれていることを確認(rèn)します。検証が成功した後、トークン宣言からユーザー情報(bào)を抽出し、認(rèn)証ロジックを?qū)g裝して、ユーザーが要求されたリソースにアクセスするために必要なアクセス許可を確実に持っていることを確認(rèn)します。 キーを安全に保つことは、トークンに署名して検証することが重要であるため、重要です。このキーの漏れは、深刻なセキュリティの脆弱性につながる可能性があります。

以上がJWT（JSON Web Tokens）によるPHP認(rèn)証の詳細(xì)內(nèi)容です。詳細(xì)については、PHP 中國(guó)語(yǔ) Web サイトの他の関連記事を參照してください。