Bearerトークンを適切に使用する方法
PHPで承認システムを作成していますが、JWTトークンを渡すこのベアラースキームに遭遇しました。 RFC 675 です。次の疑問があります。
- これによりセキュリティはどのように改善されますか?
- サーバーは、認証とログインに成功した後、本文にJWTトークンを使用してクライアントに応答しますが、クライアントが別の要求を行ったときに、実際にそれを行う方法が明確ではないので、認証ヘッダーのクライアントからトークンを送信したいリクエストなので、サーバーからの以前の応答で受け取ったトークンに「ベアラー」のプレフィックスを付ける必要があります。イエスの場合、サーバーはAuthorizationヘッダーを受信すると、スペースで文字列を分割し、2番目の値を取得します取得した配列をデコードしますか?たとえば、_
Authorization: Bearer fdbghfbfgbjhg_something_、サーバーはこれをどのように処理することになっていますか、decodeFunc(explode(" ", $this->getRequest()->getHeader("Authorization"))[1])?
1.トークンをURLで送信したヘッダーで送信しない場合、ネットワークシステム、サーバーログによってログに記録されるため、セキュリティを改善します...
2.ベアラートークンを取得するための優れた機能
/**
* Get header Authorization
* */
function getAuthorizationHeader(){
$headers = null;
if (isset($_SERVER['Authorization'])) {
$headers = trim($_SERVER["Authorization"]);
}
else if (isset($_SERVER['HTTP_AUTHORIZATION'])) { //Nginx or fast CGI
$headers = trim($_SERVER["HTTP_AUTHORIZATION"]);
} elseif (function_exists('Apache_request_headers')) {
$requestHeaders = Apache_request_headers();
// Server-side fix for bug in old Android versions (a Nice side-effect of this fix means we don't care about capitalization for Authorization)
$requestHeaders = array_combine(array_map('ucwords', array_keys($requestHeaders)), array_values($requestHeaders));
//print_r($requestHeaders);
if (isset($requestHeaders['Authorization'])) {
$headers = trim($requestHeaders['Authorization']);
}
}
return $headers;
}
/**
* get access token from header
* */
function getBearerToken() {
$headers = getAuthorizationHeader();
// HEADER: Get the access token from the header
if (!empty($headers)) {
if (preg_match('/Bearer\s(\S+)/', $headers, $matches)) {
return $matches[1];
}
}
return null;
}