Deutsch
Deutsch
Sicherheit ist bei der Entwicklung von APIs von entscheidender Bedeutung. Um sicherzustellen, dass nur autorisierte Benutzer auf bestimmte Ressourcen zugreifen können, verwenden wir normalerweise den Token -Mechanismus zur Authentifizierung und Berechtigungsregelung. In PHP wird die Header () -Funktion normalerweise zum Senden von HTTP -Headerinformationen verwendet und kann zur Verifizierung der Token verwendet werden. In diesem Artikel wird vorgestellt, wie der PHP -Header () -Funktion verwendet wird, um mit Token für die API -Berechtigungskontrolle zusammenzuarbeiten.
Token ist ein Sicherheitsanmeldung, der zur Authentifizierung und Autorisierung verwendet wird. Zu den gemeinsamen Token -Typen zählen JWT (JSON Web Token) und OAuth Token. Token werden normalerweise vom Server generiert, nachdem der Benutzer angemeldet und vom Client (z. B. im lokalen Speicher- oder HTTP -Anforderungsheader des Browsers) zur Authentifizierung in nachfolgenden API -Anforderungen gespeichert und gespeichert wurde.
Der grundlegende Prozess der Verwendung von Token für die API -Berechtigungssteuerung ist wie folgt:
Der Benutzer sendet eine Anfrage an die API und wird mit einem Token geliefert.
Nachdem der Server die Anforderung erhalten hat, wird die Funktion Header () verwendet, um das Token im Anforderungsheader zu lesen.
Der Server überprüft die Legitimität des Tokens. Wenn die Überprüfung erfolgt, ist der Zugang zu den relevanten Ressourcen zulässig. Wenn die Überprüfung fehlschlägt, wird eine Erlaubnis verweigert, die Antwort zurückgegeben wird.
In PHP kann der HTTP -Anforderungsheader über die Funktion $ _server oder getAllHeaders () erhalten werden. Angenommen, wir möchten ein Token mit dem Namen Autorisierung aus dem Anfrage -Header erhalten. Hier ist ein einfaches Beispiel:
<?php
// ErhaltenAuthorizationDer im KopfToken
function getAuthToken() {
if (isset($_SERVER['HTTP_AUTHORIZATION'])) {
return $_SERVER['HTTP_AUTHORIZATION'];
}
return null;
}
?>
Die Funktion von GetAuthToken () prüft, ob der Autorisierungsheader existiert, und gibt das Token zurück. Wenn es nicht existiert, kehren Sie NULL zurück.
Bei der Überprüfung eines Tokens ist die Überprüfung normalerweise auf der Grundlage des Inhalts oder der Signatur des Tokens erforderlich. Hier gehen wir davon aus, dass JWT (JSON Web Token) zur Token -Überprüfung verwendet wird. Hier ist ein vereinfachter Überprüfungsprozess:
<?php
// Analysieren und überprüfenJWT Token
function validateToken($token) {
$secret_key = "your-secret-key"; // Voreingestellter Schlüssel,Zur ÜberprüfungToken
// Ein einfacher wird hier verwendetJWTAnalysieren und überprüfen过程,Eigentlich fertige Bibliotheken wie Firebase JWT
// Hier ist ein vereinfachtes Beispiel
try {
// AnnahmenTokenDas Format ist "header.payload.signature"
$parts = explode('.', $token);
if (count($parts) !== 3) {
throw new Exception("TokenFehler im Format");
}
// SimulationsüberprüfungToken(In der tatsächlichen Anwendung kann es entschlüsselt werdenTokenUnd überprüfen Sie die Unterschrift)
$payload = base64_decode($parts[1]);
$payload_data = json_decode($payload, true);
if (!$payload_data || !isset($payload_data['exp']) || $payload_data['exp'] < time()) {
throw new Exception("TokenAbgelaufen");
}
// Tokeneffizient
return true;
} catch (Exception $e) {
// Rückgabe, wenn ein Fehler auftrittfalse
return false;
}
}
?>
Im obigen Code bestimmen wir, ob das Token gültig ist, indem wir das JWT -Token abreißen und den Nutzlastteil überprüfen. In der tatsächlichen Produktionsumgebung wird empfohlen, ausgereifte JWT -Bibliotheken zur Überprüfung der Token zu verwenden.
Wenn die Token -Überprüfung fehlschlägt, können wir die Funktion Header () verwenden, um den entsprechenden HTTP -Statuscode wie 401 (nicht autorisiert) oder 403 (Zugang zu verboten) zurückzugeben. Zum Beispiel:
<?php
// zurückkehren401Nicht autorisierte Reaktion
function sendUnauthorizedResponse() {
header("HTTP/1.1 401 Unauthorized");
header("Content-Type: application/json");
echo json_encode(["error" => "Unbefugter Zugang,请提供effizient的Token"]);
exit();
}
?>
Wenn die Token -Überprüfung fehlschlägt, nennen wir die Funktion "SendunAuthorizedResponse (), um eine nicht autorisierte Antwort von 401 zu senden und Fehlerinformationen bereitzustellen.
Das Kombinieren der vorherigen Funktionen ist Folgendes ist ein vollständiges Beispiel, das zeigt, wie die API -Berechtigungssteuerung in PHP implementiert wird:
<?php
// ErhaltenToken
$token = getAuthToken();
// Wenn nicht bereitgestelltToken,直接zurückkehren401Nicht autorisierte Reaktion
if (!$token) {
sendUnauthorizedResponse();
}
// verifizierenToken的effizient性
if (!validateToken($token)) {
sendUnauthorizedResponse();
}
// WennTokeneffizient,Weiter verarbeitenAPIfragen
echo json_encode(["message" => "APIfragen成功,权限verifizieren通过"]);
?>
In diesem vollständigen Beispiel erhalten Sie zuerst das Token in der Anfrage, und wenn das Token leer oder ungültig ist, wird eine nicht autorisierte Antwort von 401 zurückgegeben. Wenn das Token gültig ist, wird die Geschäftslogik der API weiterhin ausgeführt.
Durch die Header () -Funktion von PHP in Kombination mit Token können wir die API -Berechtigungssteuerung problemlos implementieren. Der grundlegende Workflow enthält:
Extrahieren Sie das Token aus dem Anforderungsheader.
Überprüfen Sie die Gültigkeit des Tokens.
Entscheiden Sie, ob auf den Bestätigungsergebnissen der Zugriff auf die API ermöglicht werden soll.
Dieser Ansatz schützt die API effektiv und sorgt dafür, dass nur autorisierte Benutzer auf sensible Daten oder Ressourcen zugreifen können.
