Как правильно использовать токены на предъявителя?

Я делаю систему авторизации в PHP, и я наткнулся на эту схему Bearer передачи токенов JWT, я прочитал RFC 6750. У меня есть следующие сомнения:

  1. Как это улучшает безопасность?
  2. Сервер отвечает клиенту токеном JWT в его теле после успешной авторизации и входа в систему, и теперь, когда клиент делает еще один запрос, я не понимаю, как на самом деле сделать это, я хочу отправить токен от клиента в заголовке авторизации в запрос, так что теперь я должен просто префикс «Bearer» к токену, который я получил в предыдущем ответе от сервера, и если да, то сервер при получении заголовка авторизации, просто разделить строку с пробелом и взять второе значение из полученный массив, а затем декодировать его? Например Authorization: Bearer fdbghfbfgbjhg_somethingКак сервер должен справиться с этим, decodeFunc(explode(" ", $this->getRequest()->getHeader("Authorization"))[1])?

17

Решение

1. Улучшение безопасности, потому что если токен не будет отправлен в заголовке, который был отправлен в URL, он будет зарегистрирован сетевой системой, сервером журнала ….

2. Хорошая функция для получения токенов на предъявителя

/**
* Get header Authorization
* */
function getAuthorizationHeader(){
$headers = null;
if (isset($_SERVER['Authorization'])) {
$headers = trim($_SERVER["Authorization"]);
}
else if (isset($_SERVER['HTTP_AUTHORIZATION'])) { //Nginx or fast CGI
$headers = trim($_SERVER["HTTP_AUTHORIZATION"]);
} elseif (function_exists('apache_request_headers')) {
$requestHeaders = apache_request_headers();
// Server-side fix for bug in old Android versions (a nice side-effect of this fix means we don't care about capitalization for Authorization)
$requestHeaders = array_combine(array_map('ucwords', array_keys($requestHeaders)), array_values($requestHeaders));
//print_r($requestHeaders);
if (isset($requestHeaders['Authorization'])) {
$headers = trim($requestHeaders['Authorization']);
}
}
return $headers;
}
/**
* get access token from header
* */
function getBearerToken() {
$headers = getAuthorizationHeader();
// HEADER: Get the access token from the header
if (!empty($headers)) {
if (preg_match('/Bearer\s(\S+)/', $headers, $matches)) {
return $matches[1];
}
}
return null;
}
46

Другие решения

Я бы порекомендовал использовать следующий RegEx, чтобы проверить, является ли он действительным токеном jwt:

/Bearer\s((.*)\.(.*)\.(.*))/

и получить к нему доступ также с помощью совпадений [1].

Это структура JWT-токена, см .: https://jwt.io/

-3

По вопросам рекламы ammmcru@yandex.ru
Adblock
detector