Meilleures pratiques d'authentification et d'autorisation dans le développement d'API PHP

Avec le développement rapide d'Internet, de plus en plus d'entreprises commencent à développer leurs propres API pour fournir des services ou des données. Pour la sécurité des API, l’authentification et l’autorisation sont des liens indispensables. Dans cet article, nous parlerons des meilleures pratiques d'authentification et d'autorisation dans le développement d'API PHP.

1. Qu'est-ce que l'authentification et l'autorisation

Tout d'abord, nous devons comprendre ce que sont l'authentification et l'autorisation. En termes simples, l'authentification consiste à confirmer l'identité de l'utilisateur, tandis que l'autorisation consiste à donner à l'utilisateur la permission d'accéder à des ressources spécifiques.

Il existe généralement trois types d'authentification :

1. Authentification basée sur un jeton : l'utilisateur fournit un identifiant (généralement un nom d'utilisateur et un mot de passe) et obtient un jeton du serveur, qui peut être utilisé lors de demandes ultérieures de vérification d'identité.

2. Authentification basée sur les cookies : le serveur définit un cookie dans le navigateur de l'utilisateur, et ce cookie peut être utilisé pour vérifier l'identité lors des demandes ultérieures.

3. Authentification basée sur HTTP : le client s'authentifie en envoyant un nom d'utilisateur et un mot de passe codés en Base64.

L'autorisation est divisée selon les types suivants :

1. Autorisation d'accès basée sur le rôle : associez les utilisateurs à des rôles. Chaque rôle dispose d'un ensemble d'autorisations et les droits d'accès sont déterminés en fonction du rôle auquel appartient l'utilisateur.

2. Autorisation d'accès basée sur les ressources : accordez des autorisations spécifiques à chaque ressource, et chaque utilisateur décide à quelle ressource accéder en fonction des autorisations qu'il a obtenues.

2. Meilleures pratiques d'authentification et d'autorisation

1. Authentification par jeton

L'utilisation de l'authentification par jeton est la méthode la plus courante. En PHP, vous pouvez utiliser la bibliothèque d'authentification de jetons (JWT) de PHP pour créer et vérifier des jetons.

La charge utile JWT est un objet JSON qui contient des informations sur l'identité de l'utilisateur. L'en-tête JWT définit l'algorithme utilisé pour générer la signature à partir de la charge utile. La signature est utilisée pour vérifier le JWT et garantir que la charge utile n'a pas été falsifiée pendant la transmission.

Par exemple, le code suivant montre comment initialiser et signer un JWT :

use FirebaseJWTJWT;

// 每次请求都会生成一个新的JWT
$jwt = JWT::encode([
    'sub' => $user->getId(),
    'exp' => time() + 3600
], $secretKey);

Lors de l'authentification, le JWT doit être vérifié. Le code suivant montre comment valider un JWT et extraire les données de la charge utile :

use FirebaseJWTJWT;

try {
    // 验证JWT并从荷载中提取数据
    $decoded = JWT::decode($jwt, $secretKey, ['HS256']);
    $userId = $decoded->sub;
} catch (Exception $e) {
    // 如果JWT无效，则引发异常
    throw new Exception('Invalid token');
}

2. Utilisez HTTPS pour la communication

L'utilisation de HTTPS garantit le cryptage des demandes et des réponses. Cela empêche les attaques de l'homme du milieu telles que les attaques d'écoute clandestine, de contrefaçon et de rejeu.

Vous pouvez utiliser des certificats TLS en HTTPS pour vérifier l'identité du client. Le code suivant montre comment vérifier un certificat client TLS :

$cert = $server_request->getAttribute('ssl_client_cert');
$clientCert = openssl_x509_parse($cert);

$userCert = //根据用户证书的颁发机构来验证用户证书

if (!$userCert || !hasAccess($userCert)) {
    return new Response('Access denied', 403);
}

3. Utiliser l'autorisation d'accès basée sur les rôles

Utilisez l'autorisation d'accès basée sur les rôles pour associer les utilisateurs à des rôles et déterminer les autorisations en fonction du rôle de l'utilisateur.

Vous pouvez utiliser un middleware de rôle pour restreindre l'accès. Par exemple, le code suivant montre comment utiliser le middleware :

class RoleMiddleware
{
    private $allowedRoles;

    public function __construct($allowedRoles)
    {
        $this->allowedRoles = $allowedRoles;
    }

    public function __invoke(ServerRequestInterface $request, callable $next) : ResponseInterface
    {
        $userRoles = //获取当前用户的角色

        foreach ($this->allowedRoles as $allowedRole) {
            if (in_array($allowedRole, $userRoles, true)) {
                return $next($request);
            }
        }

        return new Response('Access denied', 403);
    }
}

// 示例
$app->get('/admin', function (Request $request) use ($app) {
    $response = new Response();

    // 角色中间件只允许具有“admin”角色的用户访问
    $app->add(new RoleMiddleware(['admin']));

    $response->getBody()->write('Welcome to the Admin panel!');
    return $response;
});

4. À l'aide de l'autorisation d'accès basée sur les ressources

À l'aide de l'autorisation d'accès basée sur les ressources, chaque ressource peut se voir attribuer un ensemble d'autorisations et les autorisations sont déterminées en fonction de l'utilisateur. autorisation.

Par exemple, le code suivant montre comment utiliser l'autorisation dans le routage :

use ZendPermissionsAclAcl;

// 初始化ACL
$acl = new Acl();
$acl->addResource('profile');
$acl->addRole('guest');
$acl->addRole('user', 'guest');
$acl->addRole('admin', 'user');
$acl->allow('guest', 'profile', ['read']);
$acl->allow('user', 'profile', ['read', 'update']);
$acl->allow('admin', 'profile', ['read', 'update', 'delete']);

$app->get('/profile', function (Request $request, Response $response) use ($acl) {
    $user = //从JWT中获取用户
    $action = 'read';

    if (!$acl->isAllowed($user['role'], 'profile', $action)) {
        return $response->withStatus(403);
    }

    // Display user profile
});

3. Résumé

Pour le développement d'API PHP, l'authentification et l'autorisation sont des liens indispensables. L'utilisation de l'authentification basée sur les jetons, l'utilisation de HTTPS pour la communication, l'utilisation de l'autorisation d'accès basée sur les rôles et l'utilisation de l'autorisation d'accès basée sur les ressources sont les meilleures pratiques en matière de développement d'API PHP. Ces pratiques garantissent la sécurité de votre API et protègent les données des utilisateurs ainsi que l'intégrité de votre API.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!