JSフロントエンドフレームワーク（VUEJS）コンセプトを使用してPHP APIでユーザーを検証する

Question

私は、アプリケーションを2つの別々のアプリケーションに分ける最中です。PHPとMYSQLは、アプリケーションのAPI /サーバー側を処理し、VueJsを使用して処理していますフロントエンド部分。私は2つのアプリが通信し、問題のないデータをフェッチして受信しています。

ユーザーがVue側からサインインする方法と、PHPがログインしたユーザーからすべてのデータをフェッチする方法の概念を理解していません.Vueがこのような機能を処理できるかどうかもわかりません。ここのnoob。

私が理解するのに苦労していますいくつかのこと：

1）は安全に守ら物事のPHP側でデータを維持するには、

2最大の関心事である）中2つのアプリ間でのログイン資格情報を送信します安全な方法

すべてのアイデアは非常に評価されるだろう...コードを探していない、ちょうど私の脳を少しブロックを解除するア​​イデア。

はこれに対する1つの一般的なアプローチはJSON Web Tokens（JWT）を使用することでしょう

セルジオ

Answer 1

、ありがとうございます。投稿されたサイトでJWTを使用するためのPHPおよびJSライブラリがあります。

コンセプトは、このようなものです：

1. クライアントがサーバーへのログイン資格情報（ユーザー名/パスワード）を送信します（ここではHTTPSを使用してください）
2. Serverは、資格情報を検証JWTを作成し、それを送信しますJWTが有効な場合、クライアント
3. クライアントは
4. サーバーのチェックをJWTを格納し、各APIリクエストを送信し

JWTがサーバーによって署名されているため、その変更は検出され、JWTはもはや有効ではありません。

Hereは、このトピックは非常に大きいと、あなたのquestiosを絞り込むなかったとして、私の答えは非常に簡単であるPHP

Answer 2

でJWTsを使用するチュートリアルです。

私はvueフロントエンドとPHPサーバー側で私のアプリをやっている場合。 vueからユーザー名とパスワードを使ってphpにapi postを送ります。いったんphpがログインした人を知っていて、私が通常vuex（これはオプションです）のようなvueストアに保存しているユーザーモデルを送り返します。それは私がアプリ内からログインをしている場合のケースです。つまり、同じサーバー上にあることを意味します。また、セキュリティに関しては、CSRFから保護し、apiミドルウェア（応答を提供する前に確認し、通常はすべての要求または指定で呼び出される関数）を使用することをアドバイスします。あなたはおそらくPHPフレームワークを使用するつもりで、生成されたトークンをAPI呼び出しのヘッダーで送信し、サーバーやその他の方法で検証することで、これを簡単に行う必要があります。

私は外部からログイン呼び出しを行っています。私はOAuth2を使用し、HTTP要求を介して資格情報を送信するのを避け、代わりに生成されたクライアントトークンを使用し、PHPでログインを確認した後、サーバーとの通信を維持するためにリフレッシュトークンを持つapiトークンを送り返します。今、あなたは私が言及したものの背後にあるので、これを達成するために、APIの認証PHPライブラリを使用する必要があります。oauth2の仕組みを理解するには、linkを参照してください。