Comment utiliser JWT et JWE pour l'authentification et le chiffrement API en PHP

Avec le développement d'Internet, de plus en plus de sites Web et d'applications doivent fournir des interfaces API pour l'interaction des données. Dans ce cas, l’authentification et le chiffrement des API deviennent des problèmes très importants. En tant que mécanisme d'authentification et de chiffrement populaire, JWT et JWE sont de plus en plus utilisés en PHP. Eh bien, cet article expliquera comment utiliser JWT et JWE pour l'authentification et le chiffrement API en PHP.

1. Concepts de base de JWT

JWT signifie JSON Web Token et est un mécanisme compact et autonome permettant de transmettre en toute sécurité des informations entre deux parties. Il est composé de trois parties : en-tête, charge utile et signature. L'en-tête contient des informations sur le type de jeton et l'algorithme, la charge utile contient les données qui doivent être transmises et la signature est utilisée pour vérifier l'authenticité des données.

Voici un exemple de JWT :

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.Sfl Kx wRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

Parmi eux, l'en-tête est {"alg": "HS256", "typ": "JWT"} et la charge utile est {"sub " : " 1234567890", "name": "John Doe", "iat": 1516239022}, signé comme SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c.

2. Utilisation de JWT en PHP pour l'authentification API

L'utilisation de JWT pour l'authentification en PHP nécessite l'utilisation d'une bibliothèque JWT, telle que PHP-JWT. Les étapes spécifiques sont les suivantes :

(1) Téléchargez et installez la bibliothèque PHP-JWT. Peut être installé via composer.

(2) Utilisez le code suivant pour encoder et décoder :

// Encoder JWT
$jwt = JWT::encode($payload, $key);

// Decode JWT
$decoded = JWT::decode ( $jwt, $key, array('HS256'));

Parmi eux, $payload sont les données qui doivent être transmises et $key est la clé de signature, qui peut être définie selon les besoins.

(3) Authentification dans l'API

L'idée de base de l'utilisation de JWT pour l'authentification dans l'API est la suivante : une fois que l'utilisateur s'est connecté avec succès, le serveur générera un JWT, puis enverra le JWT à l'utilisateur lorsque l'utilisateur y accédera. l'API Vous devez apporter le JWT lors de la réception de la demande. Le serveur décode et vérifie le JWT lors de la réception de la demande pour déterminer si l'identité de l'utilisateur est légale.

3. Concept de base de JWE

JWE signifie JSON Web Encryption et est un mécanisme de cryptage et de protection des données. Il est également composé de trois parties : en-tête, contenu chiffré et clé de chiffrement. L'en-tête contient des informations sur l'algorithme de chiffrement et la méthode de gestion des clés, le contenu chiffré contient les données qui doivent être chiffrées et la clé de chiffrement est utilisée pour déchiffrer les données.

Voici un exemple de JWE :

eyJhbGciOiJSU0EtT0FFUCIsImVuYyI6IkEyNTZHQ00iLCJraWQiOiIxMjM0NSIsImlzcyI6InNvbWVDbGllbnQiLCJjcml0IjpbImI2NCJdLCJzdWIi OiI xMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.gXA0McEJXO_ejzOqzUwy_sx14ISFH7ksjwSYZdarlMQRzgb-gMQapghrpyv6grXBTJZbOQxBBzNU8w0WLw ZijlNQ 6QVY_wVQW8cm-W-IM9-rwqw4z6c17LUwJdd_0d9PuX_AhJIu5FKkeqMqYfZXMrE4IlO-9XxWA6sv_aWUjc5QifAAOfQCFx9ICpJ-s1iCZKc8R44vhPdujfA7Pj8bhEsuYUx j04b1g_JqZY lOB04yu9wW8Hu76IlLvAhL19VE4FYsOa9cuXQc4kzbd4x-vylbMnSFzVDqt5PNZPd0-CQq7UZmI_i9tlxK-BW9XWauqQaN6UOsNwcl66uV9TxWg.AxY8DCtDaGlsbGl jb3RoZQ.SflKxwR JSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

Parmi eux, l'en-tête est {" alg": "RSA -OAEP", "enc": "A256GCM", "kid": "12345", "iss": "someClient", "crt": ["b64"]}, le contenu chiffré est {" sub": "1234567890" , "name": "John Doe", "iat": 1516239022}, la clé de chiffrement est AxY8DCtDaGlsbGljb3RoZQ.

4. Utiliser JWE pour le cryptage API en PHP

L'utilisation de JWE pour le cryptage en PHP nécessite l'utilisation d'une bibliothèque JWE, telle que php-jose. Les étapes spécifiques sont les suivantes :

(1) Téléchargez et installez la bibliothèque php-jose. Peut être installé via composer.

(2) Utilisez le code suivant pour encoder et décoder :

// Encoder JWE
$jwe = (new JWE())

->setPayload($data)
->addRecipient(new JWK($key))
->setAlgorithm('RSA-OAEP')
->setEncryptionAlgorithm('A256GCM')
->addHeader('kid', '12345');

$compact_jwe = $jwe->toCompactJSON();

// Decode JWE
$jwe = JWE::loadFromCompact($compact_jwe);
$jwk = new JWK($key);
$plaintext = $jwe->decrypt($jwk);

Parmi eux, $data est les données qui doit être chiffré, $key est la clé de chiffrement, qui peut être définie selon les besoins.

(3) Cryptage dans l'API

L'idée de base de l'utilisation de JWE pour le cryptage dans l'API est la suivante : lorsque le serveur génère une réponse API, il crypte les données de réponse à l'aide de JWE, puis envoie les données cryptées au client. Le client décrypte la réponse après l'avoir reçue.

5. Résumé

Cet article explique comment utiliser JWT et JWE pour l'authentification et le chiffrement API en PHP. L'utilisation de JWT peut garantir la légitimité de l'identité et l'intégrité des données des requêtes API, et l'utilisation de JWE peut garantir la confidentialité des données de réponse de l'API. Dans les projets réels, des mécanismes d'authentification et de cryptage appropriés peuvent être sélectionnés en fonction des besoins.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!