如何正确使用承载令牌?

问题描述 投票:18回答:2

我做的PHP授权制度,我碰到路过JWT令牌这个承载方案来了,我看RFC 6750。我有以下疑点:

  1. 这是如何提高安全性?
  2. 服务器响应客户端与JWT令牌在它的身上成功授权并登录后,现在当客户端发出另一个请求,我不明白如何真正做到这一点,我想从客户端发送令牌授权头中的请求,所以现在我应该只是前缀“承载”到我在来自服务器的先前响应接收和如果是,则在接收到授权报头服务器,应该只是分裂与空间中的字符串的令牌,并且取从第二值所获得的数组,然后对其进行解码?例如Authorization: Bearer fdbghfbfgbjhg_something,如何服务器应该处理这个问题,decodeFunc(explode(" ", $this->getRequest()->getHeader("Authorization"))[1])
php authentication oauth http-headers bearer-token
2个回答
69
投票

1.Improving安全性,因为如果在URL发送的报头不发送令牌,将通过网络系统,服务器日志中记录....

2.A良好的功能得到承载令牌

/** 
 * Get header Authorization
 * */
function getAuthorizationHeader(){
        $headers = null;
        if (isset($_SERVER['Authorization'])) {
            $headers = trim($_SERVER["Authorization"]);
        }
        else if (isset($_SERVER['HTTP_AUTHORIZATION'])) { //Nginx or fast CGI
            $headers = trim($_SERVER["HTTP_AUTHORIZATION"]);
        } elseif (function_exists('apache_request_headers')) {
            $requestHeaders = apache_request_headers();
            // Server-side fix for bug in old Android versions (a nice side-effect of this fix means we don't care about capitalization for Authorization)
            $requestHeaders = array_combine(array_map('ucwords', array_keys($requestHeaders)), array_values($requestHeaders));
            //print_r($requestHeaders);
            if (isset($requestHeaders['Authorization'])) {
                $headers = trim($requestHeaders['Authorization']);
            }
        }
        return $headers;
    }
/**
 * get access token from header
 * */
function getBearerToken() {
    $headers = getAuthorizationHeader();
    // HEADER: Get the access token from the header
    if (!empty($headers)) {
        if (preg_match('/Bearer\s(\S+)/', $headers, $matches)) {
            return $matches[1];
        }
    }
    return null;
}
-1
投票

我会建议使用以下正则表达式来检查,如果它是一个有效的JWT令牌:

/Bearer\s((.*)\.(.*)\.(.*))/

并用火柴也访问它[1]。

这是一个JWT令牌的结构,请参阅:https://jwt.io/

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.