JWT를 사용하여 PHP API 인터페이스에서 인증하는 방법

웹 개발에서 가장 일반적인 요구 사항 중 하나는 사용자 인증입니다. 보안 인증을 구현하기 위해 웹 개발자는 다양한 메커니즘을 사용할 수 있습니다. 널리 사용되는 방법 중 하나는 토큰 기반 인증 방법을 제공하는 JWT(JSON Web Tokens)입니다.

이 기사에서는 JWT의 기본 개념을 소개하고 PHP에서 JWT를 사용하여 인증하는 방법을 보여줍니다. 간단한 예제 API를 사용하여 설명하겠습니다.

1. JWT란 무엇인가요?

JWT는 서버와 클라이언트 간 정보 전송을 위해 JSON 형식 기반의 토큰 프로토콜을 정의하는 개방형 표준(RFC 7519)입니다. JWT는 헤더, 페이로드, 서명의 세 부분으로 구성됩니다.

헤더에는 토큰 유형, 서명 알고리즘 등 토큰에 대한 메타데이터가 포함되어 있습니다. 페이로드에는 전송할 데이터가 포함되어 있습니다. JWT의 전송은 Base64 인코딩을 통해 이루어집니다. 서명 부분은 헤더와 페이로드의 해시 값에 서명하는 것입니다.

2. JWT를 인증에 어떻게 사용하나요?

실제 애플리케이션에서는 일반적으로 사용자가 성공적으로 로그인한 후 JWT를 생성한 다음 클라이언트에 다시 보냅니다. 클라이언트가 보호된 API에 액세스할 때마다 인증 정보로 JWT를 서버에 보내야 합니다. 서버는 JWT의 유효성을 검증하고 이를 기반으로 사용자를 인증할 수 있습니다.

PHP에서 인증을 위해 JWT를 사용하는 방법을 보여드리겠습니다. 이 예에서는 JWT를 검증하는 간단한 API를 만듭니다. API는 GET 요청을 수락하고 JWT를 쿼리 매개변수로 전달합니다.

먼저 php-jwt 라이브러리를 설치해야 합니다. Composer를 사용하여 가져오기를 완료할 수 있습니다.

composer require firebase/php-jwt

그런 다음 페이로드 데이터를 JWT로 변환하고 서명하는 함수를 작성해야 합니다.

function generateToken($payload) {
    $key = "secret_key";
    $token = array(
        "iss" => "http://example.org",
        "aud" => "http://example.com",
        "iat" => time(),
        "exp" => time() + (60*60),
        "data" => $payload
    );

    return JWT::encode($token, $key);
}

이 함수에서는 "iss"( 발행자), "aud"(수신자), "iat"(발행 시간) 및 "exp"(만료 시간). 또한 JWT의 데이터 섹션에 사용자 데이터를 추가합니다. 마지막으로 "secret_key"를 서명 키로 사용하여 PHP-JWT 라이브러리의 인코딩 메서드를 사용하여 JWT에 서명합니다.

다음으로, 들어오는 JWT가 유효한지 확인하는 유효성 검사 함수를 작성해야 합니다.

function validateToken($jwt) {
    $key = "secret_key";
    try {
        $data = JWT::decode($jwt, $key, array('HS256'));
        return true;
    } catch (Exception $e) {
        return false;
    }
}

이 함수에서는 PHP-JWT 라이브러리의 decode 메서드를 사용하여 JWT를 디코딩하고 동일한 키를 사용하여 유효성을 검사합니다. JWT 유효성 검사가 통과하면 true를 반환하고, 그렇지 않으면 false를 반환합니다.

마지막으로 GET 요청을 수신하고 JWT를 검증하기 위한 입력 스크립트를 작성해야 합니다.

require_once 'vendor/autoload.php';

use FirebaseJWTJWT;

$jwt = $_GET['jwt'];
if (validateToken($jwt)) {
    $data = JWT::decode($jwt, "secret_key", array('HS256'));
    echo "Welcome " . $data->data->username . "!";
} else {
    echo "Invalid token!";
}

이 스크립트에서는 먼저 GET 요청 매개변수에서 JWT를 가져온 다음 verifyToken 함수를 호출하여 JWT가 유효한지 확인합니다. 유효합니다. JWT가 유효하면 이를 디코딩하고 저장된 사용자 정보를 추출한 후 사용자를 환영할 수 있습니다. 그렇지 않으면 "Invalid token!"이 출력됩니다.

전체 코드는 다음과 같습니다.

require_once 'vendor/autoload.php';

use FirebaseJWTJWT;

function generateToken($payload) {
    $key = "secret_key";
    $token = array(
        "iss" => "http://example.org",
        "aud" => "http://example.com",
        "iat" => time(),
        "exp" => time() + (60*60),
        "data" => $payload
    );

    return JWT::encode($token, $key);
}

function validateToken($jwt) {
    $key = "secret_key";
    try {
        $data = JWT::decode($jwt, $key, array('HS256'));
        return true;
    } catch (Exception $e) {
        return false;
    }
}

$jwt = $_GET['jwt'];
if (validateToken($jwt)) {
    $data = JWT::decode($jwt, "secret_key", array('HS256'));
    echo "Welcome " . $data->data->username . "!";
} else {
    echo "Invalid token!";
}

3. Summary

이 글에서는 PHP에서 인증을 위해 JWT를 사용하는 방법을 설명합니다. 간단한 API를 기반으로 JWT를 시연하고 JWT를 생성하고 검증하는 방법을 자세히 설명했습니다.

인증을 위해 JWT를 사용할 때 중요한 점은 JWT 메타데이터를 올바르게 설정하고 올바른 서명 알고리즘을 사용하는 것입니다. 또한 JWT는 항상 보안 키를 사용하여 서명되어야 합니다.

따라서 애플리케이션을 개발할 때 애플리케이션의 보안을 보장하기 위해 JWT 사용 방법을 신중하게 고려해야 합니다.

위 내용은 JWT를 사용하여 PHP API 인터페이스에서 인증하는 방법의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!