编辑“︁PHP API认证”︁（章节）

= PHP API认证 =

== 介绍 ==
'''PHP API认证'''是确保客户端（如Web应用、移动设备等）与服务器端API安全通信的核心机制。它通过验证请求方的身份、授权访问特定资源并防止未授权操作来保护数据完整性。在PHP开发中，常见的认证方式包括基础认证（Basic Auth）、API密钥（API Key）、OAuth、JWT（JSON Web Tokens）等。本指南将逐步介绍这些方法的原理、实现及适用场景。

== 认证方法 ==

=== 1. 基础认证（Basic Auth） ===
通过HTTP头传递用户名和密码（Base64编码），适合简单场景，但安全性较低（需配合HTTPS）。

<syntaxhighlight lang="php">
// 服务器端验证示例
if (!isset($_SERVER['PHP_AUTH_USER'])) {
    header('WWW-Authenticate: Basic realm="My API"');
    header('HTTP/1.0 401 Unauthorized');
    echo '未提供认证信息';
    exit;
} else {
    $validUser = 'admin';
    $validPass = 'password123';
    if ($_SERVER['PHP_AUTH_USER'] === $validUser && $_SERVER['PHP_AUTH_PW'] === $validPass) {
        echo '认证成功！';
    } else {
        header('HTTP/1.0 403 Forbidden');
        echo '认证失败';
    }
}
</syntaxhighlight>

'''输入/输出示例：'''
* 客户端请求头：<code>Authorization: Basic YWRtaW46cGFzc3dvcmQxMjM=</code>（Base64解码为<code>admin:password123</code>）
* 成功响应：<code>200 OK</code> + "认证成功！"
* 失败响应：<code>403 Forbidden</code> + "认证失败"

=== 2. API密钥认证 ===
客户端在请求头或URL参数中传递唯一密钥，服务器验证其有效性。

<syntaxhighlight lang="php">
// 验证API密钥（存储在数据库或环境变量中）
$validApiKey = 'abc123xyz';
$clientApiKey = $_SERVER['HTTP_X_API_KEY'] ?? null;

if ($clientApiKey !== $validApiKey) {
    header('HTTP/1.0 401 Unauthorized');
    die('无效的API密钥');
}
// 继续处理请求...
</syntaxhighlight>

'''实际应用场景：'''  
天气预报API服务允许注册用户通过API密钥获取数据，如：<code>https://api.weather.com/v1?key=abc123xyz</code>

=== 3. JWT（JSON Web Token） ===
使用签名令牌实现无状态认证，包含三部分：Header、Payload、Signature。

<mermaid>
graph LR
    A[客户端登录] --> B[服务器生成JWT]
    B --> C[客户端存储JWT]
    C --> D[后续请求携带JWT]
    D --> E[服务器验证JWT]
</mermaid>

<syntaxhighlight lang="php">
// 生成JWT（需安装firebase/php-jwt库）
use Firebase\JWT\JWT;

$key = 'your_secret_key';
$payload = [
    'user_id' => 123,
    'exp' => time() + 3600 // 1小时后过期
];
$jwt = JWT::encode($payload, $key, 'HS256');

// 验证JWT
try {
    $decoded = JWT::decode($_SERVER['HTTP_AUTHORIZATION'], $key, ['HS256']);
    echo '用户ID: ' . $decoded->user_id;
} catch (Exception $e) {
    header('HTTP/1.0 401 Unauthorized');
    echo '令牌无效: ' . $e->getMessage();
}
</syntaxhighlight>

'''令牌结构示例：'''  
<code>Header: {"alg":"HS256","typ":"JWT"}</code>  
<code>Payload: {"user_id":123,"exp":1625097600}</code>  
<code>Signature: HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload), key)</code>

=== 4. OAuth 2.0 ===
适用于第三方应用授权，流程复杂但标准化。常见授权类型：
* 授权码模式（Authorization Code）
* 客户端凭证（Client Credentials）

<mermaid>
sequenceDiagram
    Client->>Auth Server: 请求授权
    Auth Server-->>Client: 返回授权码
    Client->>Auth Server: 用授权码换令牌
    Auth Server-->>Client: 返回访问令牌
    Client->>Resource Server: 携带令牌访问API
</mermaid>

== 安全最佳实践 ==
* 始终使用HTTPS加密通信
* 敏感数据（如密钥）避免硬编码，使用环境变量
* JWT设置合理过期时间（<math>exp</math>）
* 定期轮换API密钥
* 限制API调用频率（防暴力破解）

== 实际案例：电商API认证 ==
某电商平台使用JWT保护用户订单API：
# 用户登录后获取JWT
# 请求订单时携带令牌：<code>Authorization: Bearer <jwt_token></code>
# 服务器验证令牌并返回用户专属订单数据

'''PHP实现片段：'''  
<syntaxhighlight lang="php">
// 中间件验证JWT
function authenticate($jwt, $key) {
    try {
        return JWT::decode($jwt, $key, ['HS256']);
    } catch (Exception $e) {
        http_response_code(401);
        exit(json_encode(['error' => '认证失败']));
    }
}
</syntaxhighlight>

== 总结 ==
选择API认证方式时需权衡安全需求与实现复杂度。对于初学者，建议从API密钥开始，逐步过渡到JWT或OAuth。始终遵循最小权限原则，仅授予必要的访问权限。

[[Category:编程语言]]
[[Category:PHP]]
[[Category:PHP API开发]]