Menambahkan Keamanan dengan JWT pada API PHP

Pengenalan JWT dan Keamanan API

API yang aman adalah salah satu hal yang sangat penting dalam pengembangan aplikasi web. Untuk melindungi API Anda dari akses yang tidak sah, Anda dapat menggunakan mekanisme autentikasi berbasis token seperti JWT (JSON Web Token).

JWT adalah standar terbuka (RFC 7519) untuk membuat token berbasis JSON yang dapat digunakan untuk melakukan autentikasi dan otorisasi. Token ini berfungsi untuk memvalidasi pengguna yang mengakses API dan memastikan hanya pengguna yang sah yang dapat melakukan operasi tertentu.

Dalam artikel ini, kita akan mempelajari bagaimana cara menambahkan autentikasi berbasis JWT ke API RESTful yang telah kita buat sebelumnya menggunakan PHP.

Langkah 1: Menginstal Library JWT

Untuk memulai, kita perlu menginstal library JWT agar dapat membuat dan memverifikasi token JWT. Salah satu library PHP yang populer untuk JWT adalah Firebase JWT. Anda dapat menginstalnya menggunakan Composer dengan perintah berikut:

composer require firebase/php-jwt

Setelah berhasil diinstal, Anda dapat mengimpor library ini ke dalam skrip PHP Anda untuk mulai menggunakan fungsinya.

Langkah 2: Membuat Fungsi untuk Membuat Token JWT

Untuk membuat token JWT, kita memerlukan beberapa data yang perlu disertakan dalam payload token, seperti user_id dan username. Berikut adalah contoh kode untuk membuat token JWT:

<?php
require_once 'vendor/autoload.php';
use \Firebase\JWT\JWT;

$key = "secretkey"; // Kunci rahasia yang digunakan untuk mengenkripsi token
$issuedAt = time();
$expirationTime = $issuedAt + 3600;  // token akan kedaluwarsa dalam 1 jam
$payload = array(
    "user_id" => 1, // ID pengguna yang masuk
    "username" => "muji", // Nama pengguna
    "iat" => $issuedAt, // Waktu token diterbitkan
    "exp" => $expirationTime // Waktu kedaluwarsa token
);

$jwt = JWT::encode($payload, $key);
echo json_encode(array("token" => $jwt));
?>

Token yang dihasilkan akan dikembalikan dalam format JSON. Anda dapat menggunakannya untuk melakukan autentikasi pada API selanjutnya.

Langkah 3: Memverifikasi Token JWT pada Setiap Permintaan API

Setelah pengguna menerima token JWT, token ini harus disertakan dalam setiap permintaan API yang ingin diakses. Biasanya, token ini dikirimkan melalui header Authorization.

Berikut adalah contoh cara memverifikasi token JWT yang dikirim oleh klien untuk memastikan hanya pengguna yang sah yang dapat mengakses API:

<?php
require_once 'vendor/autoload.php';
use \Firebase\JWT\JWT;

$key = "secretkey";

// Mengambil token dari header Authorization
$headers = apache_request_headers();
$token = isset($headers['Authorization']) ? str_replace('Bearer ', '', $headers['Authorization']) : null;

if ($token) {
    try {
        $decoded = JWT::decode($token, $key, array('HS256'));
        $user_id = $decoded->data->user_id; // Mengambil ID pengguna dari payload
        echo json_encode(array("message" => "Token valid", "user_id" => $user_id));
    } catch (Exception $e) {
        echo json_encode(array("message" => "Akses ditolak. Token tidak valid.", "error" => $e->getMessage()));
    }
} else {
    echo json_encode(array("message" => "Akses ditolak. Token tidak ditemukan."));
}
?>

Dengan cara ini, setiap permintaan API yang datang akan memeriksa apakah token yang disertakan sah. Jika token valid, maka API akan mengizinkan akses, dan jika tidak, akan mengembalikan pesan kesalahan.

Langkah 4: Melindungi API dengan Middleware JWT

Untuk membuat API lebih aman, Anda dapat membuat middleware untuk memeriksa token JWT sebelum setiap permintaan API. Ini memungkinkan Anda untuk memvalidasi token di awal dan menghindari kode duplikat di setiap endpoint API.

Contoh kode middleware untuk memeriksa token:

<?php
require_once 'vendor/autoload.php';
use \Firebase\JWT\JWT;

function checkJWT() {
    $key = "secretkey";
    $headers = apache_request_headers();
    $token = isset($headers['Authorization']) ? str_replace('Bearer ', '', $headers['Authorization']) : null;

    if ($token) {
        try {
            $decoded = JWT::decode($token, $key, array('HS256'));
            return $decoded;
        } catch (Exception $e) {
            return false;
        }
    }
    return false;
}
?>

Dengan middleware ini, Anda dapat memeriksa token JWT di setiap endpoint API yang membutuhkan autentikasi, sehingga tidak perlu memeriksa token secara manual pada setiap permintaan.

Kesimpulan

Dengan menambahkan autentikasi berbasis JWT, Anda dapat mengamankan API PHP Anda dari akses yang tidak sah. Dengan cara ini, API Anda hanya akan menerima permintaan dari pengguna yang memiliki token yang valid. Anda dapat memperluas mekanisme ini lebih lanjut dengan menambahkan otorisasi berbasis peran (role-based authorization) dan pengelolaan token (seperti refresh token) untuk membuat API lebih fleksibel dan aman.

Selanjutnya, kita akan membahas cara mengoptimalkan performa API PHP menggunakan caching dan teknik pengoptimalan lainnya. Baca selengkapnya di sini!

Bagikan Artikel ini