Как реализовать авторизацию в Rest?

Question

[PoodingRex]

Добрейшего времени суток. Подскажите, пожалуйста, как наиболее просто можно реализовать авторизацию в REST сервисе на php?
т.е. есть в базе список пользователей с логином и паролем, пользователи вводят и отправляют данные на сервер, тот проверяет их на соответствие по базе, а дальше какая магия происходит?
Я вижу только один вариант - генерировать какой-нибудь ключ, записывать его в базу напротив пользователя + записывать ему в LocalStorage, а дальше, при любом обращении к закрытому разделу (где нужна проверка авторизации), проверяет соответствие ключа в LS и БД. Такой вариант имеет право на существование? Будет ли он хоть немного безопасен?

Answer 1

[Sergej]

JWT и не надо изобретать велосипедов. (под все фреймворки имеются пакеты)
Получаете токен и используете его. В токене могут быть права, экперинс и т.д.

Comments

[PoodingRex]

А если не под фреймворк, а под самопис? Пробежался по статьям, не нашёл какого-то простого объяснения с примерами...

p.s. как основу планирую использовать SLIM, под него что-то есть?

[anton_lazarev]

PoodingRex: https://github.com/tuupola/slim-jwt-auth

[Sergej]

PoodingRex: как я и написал, имеются под все фреймворки =)
Еще для реализации RESTful API я был посоветовал подключить swagger.

[PoodingRex]

Doc: да, уже на хабе нашёл много реализаций, спасибо =)
Сваггер - просто просматривает ответы? Как postman и прочие?

[Sergej]

PoodingRex: отправлять, принимать. Полноценный контроль API. (PUT, GET, POST, DELETE, PATCH)
Удобно тестировать методы и как документация тоже хорошо.

Answer 2

[Алекс]

JWT - без вариантов

Answer 3

[Артем]

Не изобретайте велосипед - используйте OAuth.

Comments

[Sergej]

Это велосипед.

[PoodingRex]

Спасибо! Пример отличный, в русскоязычном сегменте таких подробностей не находил. Особенно в контексте REST.

[YaRobot]

PoodingRex: надеюсь вы это примените не на продакшен а только для изучения.

[PoodingRex]

YaRobot: да, исключительно обучаюсь REST'у, ради хобби.