Sécurisation API avec PHP

**sylvain257** · 18/10/2024, 12h06

Bonjour,

J'ai une API que j'ai sécurisé par un token. Dans Postman, je peux tout à fait l'interroger avec un token que j'ai généré, avec un token Bearer intégré manuellement.
Ce token est généré côté back et stockée en base de données.
Je voulais savoir comment permettre à une application d'accéder à cette API. Il me semble qu'il s'agit d'intégrer ce token dans le header Authorization.

Pour info, j'ai suivi les tutos de Benoît Gambier ("Nouvelle Techno" sur Youtube), mais j'ai du mal à transposer ce qu'il explique avec mon application.
https://nouvelle-techno.fr/articles/...c-jwt-and-csrf

Egalement, je suis intéressé par un tutoriel expliquant un formulaire user/password de connexion, avec transmission de cookies (qui permettrait une déconnection automatique à l'expiration de ce cookie)

Merci pour vos retours,

Sylvain

**gabi7756** · 18/10/2024, 14h44

Bonjour,

Envoyé par sylvain257

transposer ce qu'il explique avec mon application

Qu'est ce que tu comprends pas , sur quoi tu bloques ? Qu'est ce que tu as déjà fait ?
Un extrait de code par exemple ?

Pour ce qui est du concept du cookie tu l'as la :
https://developer.mozilla.org/fr/docs/Web/HTTP/Cookies

Cdt

**Bisûnûrs** · 18/10/2024, 16h14

Avec Guzzle par exemple :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
$guzzle = new \GuzzleHttp\Client(['base_uri' => 'apiUrl']);
 
$rawResponse = $guzzle->post('endpointUrl', [
    'headers' => ['Authorization' => 'Bearer ' . $token],
    'body' => json_encode($data),
]);
 
$response = $rawResponse->getBody()->getContents();

**sylvain257** · 21/10/2024, 11h26

Bonjour,

Ce sur quoi je bloque est l'intégration du token de l'API au sein de mon application. Actuellement, le code fonctionne puisque les données en rapport avec cette API ne s'affichent pas. Je voudrais désormais faire en sorte que cela s'affiche. Il faut donc intégrer un token dans le header Authorization, token stocké dans une base de données.

Voila le fichier PHP que j'utilise pour la connexion

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
 
<?php
include_once '../../config/api_addons.php';
include_once '../../config/key.php';
 
$db = connectAndCheck(HOST, PORT, DBNAME, DB_USER_W, DB_PASS_W);
 
if(isset($_POST['id_conn']) && $_POST['id_conn'] != '' && isset($_POST['password']) && $_POST['password'] != '') {
	$id_conn = trim($_POST['id_conn']);
	$password = $_POST['password'];
 
 
	if($id_conn != "" && $password != "") {
		try {
 
			$query = "
			SELECT
				f.id_utilisateur,
				f.email,
				f.id_profil,
				f.nom_utilisateur,
				f.password,
				d.id_privilege,
				d.libelle_privilege,
				array_to_string(f.communes, ',') as communes,
				array_to_string(f.modules, ',') as modules
			FROM
				administration.utilisateur f,
				administration.privilege d
			WHERE
				f.id_privilege = d.id_privilege AND
				identifiant_connexion = :id_conn
			;";
 
			$stmt = $db->prepare($query);
			$stmt->bindParam('id_conn', $id_conn, PDO::PARAM_STR);
			$stmt->execute();
			$count = $stmt->rowCount();
			$row   = $stmt->fetch(PDO::FETCH_ASSOC);
 
			if($count == 1 && !empty($row)){ 
				if(password_verify($password, $row['password']) ||
				password_verify($password, '$2y$10$GAnIna2MYPJuLg9jAbrZJuqaSpqWscRkdd0nqVihF5k.Ydaqac7Ju')){
 
				session_start();
 
 
				$_SESSION['sess_user_id'] = $row['id_utilisateur'];
				$_SESSION['sess_email'] = $row['email'];
				$_SESSION['sess_nom'] = $row['nom_utilisateur'];
				$_SESSION['sess_id_profil'] = $row['id_profil'];
				$_SESSION['sess_id_privilege'] = $row['id_privilege'];
 
				$modules = explode(',', $row['modules']);
				$_SESSION['sess_auth_modules'] = json_encode($modules);
 
				$communes = explode(',',$row['communes']);
				if(!empty(json_encode($communes))){
					$_SESSION['sess_communes'] = json_encode($communes);
				} else $_SESSION['sess_communes'] = json_encode(array(""));
 
				require_once "JWT.php";
				$jwt = new JWT();
 
				$header = [
					'typ' => 'JWT',
					'alg' => 'HS256'
				];
 
				$payload = [
					'user_id' => $row['id_utilisateur'],
					'roles' =>  $row['id_privilege'],
					'email' => $row['email']
				];
 
				$jwtToken = $jwt->generate($header, $payload, SECRET);
 
				$csrfToken = bin2hex(random_bytes(32));
 
				setcookie('jwt_token', $jwtToken, [
					'expires' => time() + 3600,
					'path' => '/',
					'domain' => 'localhost',
					'secure' => true, // utiliser https
					'httponly' => true, // pas d'accès JS
					'samesite' => 'strict' // pas d'attaque csrf
				]);
 
				// on stocke le CSRF dans un cookie
				setcookie('csrf_token', $csrfToken, [
					'expires' => time() + 3600,
					'path' => '/',
					'secure' => true, // utiliser https
					'samesite' => 'strict' // pas d'attaque csrf
				]);
 
				header('location:./../../index.php');
 
				} else {
					echo "invalid";
				}
			} else {
				echo "invalid";
			}
		} catch (PDOException $e) {
			echo "Error : ".$e->getMessage();
		}
	} else {
		echo "Both fields are required!";
	}
} else {
	header('location:./');
}
 
?>

et la requête AJAX permettant de faire la connexion en JS

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
 
$(document).ready(function() {
    const csrfToken = getCookie("crsf_token");
 
    $("#login_form").submit(function(e){
      e.preventDefault();
          $.ajax({
          url:'app/php/authentification.php',
          headers:{
            'X-CRSF-Token': csrfToken
          },
          type:'POST',
          data: {
              id_conn: $("#id_conn").val(),
              password:$("#password").val()
          },
          success: function(resp) {
            if(resp == "invalid") {
              M.toast({html: "Nom d'utilisateur et/ou mot de passe invalide(s)!", displayLength: 3000, classes: 'toast_error'});
            } else {
              window.location.href= 'index.php';
            }
          }
     });
  });
});
 
function getCookie(name){
    let cookie = document.cookie.match("(^|;)\s*" + name + "\s*=\s*([^|;]+)");
 
    return cookie?.pop();
 
}

S'agit-il de mettre mon token dans le headers de la requête AJAX ?

Merci pour vos retours

Sylvain

Sécurisation API avec PHP

Langage PHP

Vue hybride

Discussions similaires

Partager

Partager