如何正确使用Bearer token?
How to properly use Bearer tokens?
我正在 PHP 中制作授权系统,我遇到了传递 JWT 令牌的 Bearer 方案,我阅读了 [RFC 6750][1]。我有以下疑问:
- 这如何提高安全性?
- 在成功授权和登录后,服务器在其 body 中用 JWT 令牌响应客户端,现在当客户端发出另一个请求时,我不清楚如何实际执行此操作,我想在请求中的授权 header 中从客户端发送令牌,所以现在我应该将“Bearer”作为前缀添加到我在服务器先前的响应中收到的令牌,如果是,那么服务器在接收授权时 [=23] =],应该直接用space拆分字符串,从得到的数组中取第二个值再解码?例如
Authorization: Bearer fdbghfbfgbjhg_something,服务器应该如何处理这个问题,decodeFunc(explode(" ", $this->getRequest()->getHeader("Authorization"))[1])?
[1]: https://www.rfc-editor.org/rfc/rfc6750
1.Improving 安全,因为如果在 url 中发送的令牌未在 header 中发送,它将被网络系统记录,服务器日志....
2.A 获取不记名令牌的好功能
/**
* Get header Authorization
* */
function getAuthorizationHeader(){
$headers = null;
if (isset($_SERVER['Authorization'])) {
$headers = trim($_SERVER["Authorization"]);
}
else if (isset($_SERVER['HTTP_AUTHORIZATION'])) { //Nginx or fast CGI
$headers = trim($_SERVER["HTTP_AUTHORIZATION"]);
} elseif (function_exists('apache_request_headers')) {
$requestHeaders = apache_request_headers();
// Server-side fix for bug in old Android versions (a nice side-effect of this fix means we don't care about capitalization for Authorization)
$requestHeaders = array_combine(array_map('ucwords', array_keys($requestHeaders)), array_values($requestHeaders));
//print_r($requestHeaders);
if (isset($requestHeaders['Authorization'])) {
$headers = trim($requestHeaders['Authorization']);
}
}
return $headers;
}
/**
* get access token from header
* */
function getBearerToken() {
$headers = getAuthorizationHeader();
// HEADER: Get the access token from the header
if (!empty($headers)) {
if (preg_match('/Bearer\s(\S+)/', $headers, $matches)) {
return $matches[1];
}
}
return null;
}
我建议使用以下 RegEx 来检查它是否是有效的 jwt-token:
/Bearer\s((.*)\.(.*)\.(.*))/
也可以使用 matches[1].
访问它
这是JWT-Token的结构,见:https://jwt.io/
我正在 PHP 中制作授权系统,我遇到了传递 JWT 令牌的 Bearer 方案,我阅读了 [RFC 6750][1]。我有以下疑问:
- 这如何提高安全性?
- 在成功授权和登录后,服务器在其 body 中用 JWT 令牌响应客户端,现在当客户端发出另一个请求时,我不清楚如何实际执行此操作,我想在请求中的授权 header 中从客户端发送令牌,所以现在我应该将“Bearer”作为前缀添加到我在服务器先前的响应中收到的令牌,如果是,那么服务器在接收授权时 [=23] =],应该直接用space拆分字符串,从得到的数组中取第二个值再解码?例如
Authorization: Bearer fdbghfbfgbjhg_something,服务器应该如何处理这个问题,decodeFunc(explode(" ", $this->getRequest()->getHeader("Authorization"))[1])? [1]: https://www.rfc-editor.org/rfc/rfc6750
1.Improving 安全,因为如果在 url 中发送的令牌未在 header 中发送,它将被网络系统记录,服务器日志....
2.A 获取不记名令牌的好功能
/**
* Get header Authorization
* */
function getAuthorizationHeader(){
$headers = null;
if (isset($_SERVER['Authorization'])) {
$headers = trim($_SERVER["Authorization"]);
}
else if (isset($_SERVER['HTTP_AUTHORIZATION'])) { //Nginx or fast CGI
$headers = trim($_SERVER["HTTP_AUTHORIZATION"]);
} elseif (function_exists('apache_request_headers')) {
$requestHeaders = apache_request_headers();
// Server-side fix for bug in old Android versions (a nice side-effect of this fix means we don't care about capitalization for Authorization)
$requestHeaders = array_combine(array_map('ucwords', array_keys($requestHeaders)), array_values($requestHeaders));
//print_r($requestHeaders);
if (isset($requestHeaders['Authorization'])) {
$headers = trim($requestHeaders['Authorization']);
}
}
return $headers;
}
/**
* get access token from header
* */
function getBearerToken() {
$headers = getAuthorizationHeader();
// HEADER: Get the access token from the header
if (!empty($headers)) {
if (preg_match('/Bearer\s(\S+)/', $headers, $matches)) {
return $matches[1];
}
}
return null;
}
我建议使用以下 RegEx 来检查它是否是有效的 jwt-token:
/Bearer\s((.*)\.(.*)\.(.*))/
也可以使用 matches[1].
访问它这是JWT-Token的结构,见:https://jwt.io/