PHPでRESTful APIの認証を実装する方法

PHP で RESTful API 認証を実装する方法

RESTful API は、一般的に使用されるインターネット アプリケーション プログラミング インターフェイスの設計スタイルです。実際の開発では、API のセキュリティを保護するために、通常、ユーザーを認証する必要があります。この記事では、PHP で RESTful API 認証を実装する方法と具体的なコード例を紹介します。

1. 基本認証

基本認証は最も単純な認証方法であり、最も一般的に使用される方法の 1 つです。基本認証の原理は、HTTP リクエスト ヘッダーに Authorization フィールドを追加してユーザーの資格情報を渡すことです。 PHP では、HTTP リクエストのヘッダー情報を取得することで基本認証を実現できます。

<?php
// 获取HTTP请求头部信息
$headers = getallheaders();

// 验证Authorization字段
if (isset($headers['Authorization'])) {
    // 获取用户凭证
    $authHeader = $headers['Authorization'];
    list($type, $credentials) = explode(' ', $authHeader);

    // 解码凭证
    $decodedCredentials = base64_decode($credentials);
    list($username, $password) = explode(':', $decodedCredentials);

    // 验证用户名和密码
    if ($username == 'admin' && $password == '123456') {
        echo '通过身份验证';
    } else {
        echo '身份验证失败';
    }
} else {
    // 未传递Authorization字段，返回身份验证失败
    echo '身份验证失败';
}
?>

2. トークン認証

トークン認証は一般的な認証方法であり、ログイン認証後にユーザーに対して一意のトークンを生成し、クライアントからの後続のリクエストごとに返されたトークンをクライアントに送信します。クライアントはトークン情報を渡すために HTTP ヘッダーに Authorization フィールドを追加する必要があります。 PHP では、JSON Web Token (JWT) を使用してトークン認証を実装できます。

<?php
require_once 'vendor/autoload.php';

use FirebaseJWTJWT;

// 设置JWT密钥
$key = 'your-secret-key';

// 生成Token
$token = JWT::encode(array(
    'username' => 'admin',
    'exp' => time() + 3600
), $key);

// 解码Token
$decoded = JWT::decode($token, $key, array('HS256'));

// 验证Token
if ($decoded->username == 'admin') {
    echo '通过身份验证';
} else {
    echo '身份验证失败';
}
?>

この例では、Firebase JWT ライブラリを使用してトークンを生成およびデコードします。トークンは Composer を通じてインストールする必要があります。リクエストごとに、配信のために HTTP ヘッダーにトークンを追加する必要があります。

3. OAuth 2.0 認証

OAuth 2.0 は、保護されたリソースへのアクセスをサードパーティ アプリケーションに許可するために一般的に使用されるオープン スタンダードです。 PHP では、League OAuth2 Server ライブラリを使用して OAuth 2.0 認証を実装できます。

<?php
require_once 'vendor/autoload.php';

use LeagueOAuth2ServerGrantPasswordGrant;
use LeagueOAuth2ServerGrantRefreshTokenGrant;
use LeagueOAuth2ServerResourceServer;
use LeagueOAuth2ServerAuthorizationServer;
use LeagueOAuth2ServerCryptKey;
use LeagueOAuth2ServerGrantClientCredentialsGrant;

// 设置公钥和私钥
$privateKey = new CryptKey('path/to/private.key', 'passphrase');
$publicKey = new CryptKey('path/to/public.key');

// 创建认证服务器
$server = new AuthorizationServer();

// 添加授权类型
$server->enableGrantType(
    new PasswordGrant(
        new UserRepository(),
        new RefreshTokenRepository()
    )
);

// 添加客户端授权类型
$server->enableGrantType(
    new ClientCredentialsGrant(),
    new DateInterval('PT1H') // 访问令牌有效期为1小时
);

// 创建资源服务器
$resourceServer = new ResourceServer(
    new AccessTokenRepository(),
    $publicKey
);

// 验证访问令牌
try {
    $accessToken = $resourceServer->validateAuthenticatedRequest(
        ZendDiactorosServerRequestFactory::fromGlobals()
    );

    echo '通过身份验证';
} catch (Exception $e) {
    echo '身份验证失败';
}
?>

この例では、League OAuth2 Server ライブラリを使用して OAuth 2.0 認証を実装します。 AuthorizationServer インスタンスと ResourceServer インスタンスを作成し、対応する認可タイプとトークン リポジトリを構成する必要があります。リクエストごとに、ResourceServer を使用してアクセス トークンを検証できます。

概要

この記事では、PHP で RESTful API 認証を実装する方法を紹介し、基本認証、トークン認証、OAuth 2.0 認証のコード例を示します。実際のニーズとセキュリティ要件に基づいて、API のセキュリティを保護する適切な認証方法を選択できます。

以上がPHPでRESTful APIの認証を実装する方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。