Översikt

Eftersom företag i allt högre grad förlitar sig på API:er för att ansluta tjänster och applikationer är det mycket viktigt att säkra dessa datapipelines. Detta användningsfall beskriver hur vi implementerade ett robust JSON Web Token (JWT)-autentiseringssystem för en klients Joomla core API, vilket säkerställde att API-åtkomst begränsades exklusivt till registrerade och autentiserade användare.

Förutsättningar

Detta användningsfall har implementerats sömlöst med hjälp av plugin-program som listas nedan. För att uppnå detta måste du installera dessa plugin-program på din Joomla-instans.

Anpassad API-tillägg för Joomla

Med pluginet Custom API kan du skapa anpassade slutpunkter/REST-rutter för att hämta/ändra/skapa/ta bort data i Joomla.

Ladda ner tillägg

Utmaning

Klienten behövde exponera sin Joomla-webbplats data och funktionalitet via ett API för användning i externa applikationer. Standardåtkomstkontrollerna var dock otillräckliga för deras säkerhetskrav. Den största utmaningen var att implementera en användarbaserad JWT-autentisering system. Detta innebar att åtkomst till API:et inte kunde vara öppen eller baserad på en enkel, statisk API-nyckel; den behövde beviljas dynamiskt endast till användare med giltiga inloggningsuppgifter på Joomla-webbplatsen.

Lösning

Vi designade och utvecklade ett anpassat autentiseringsflöde som integreras direkt med Joomlas användarhanteringssystem. Lösningen innebar att skapa en dedikerad API-slutpunkt specifikt för att generera JWT-tokensDenna metod säkerställer att varje API-förfrågan valideras säkert utan att användaruppgifterna upprepade gånger exponeras.

Denna JWT-baserade lösning ger flera fördelar:

• Förbättrad säkerhet: Tokens är digitalt signerade och kan verifieras av servern, vilket förhindrar obehörig åtkomst.
• Statslös och skalbar: Servern behöver inte lagra sessionsinformation för varje användare, vilket gör API:et mer effektivt och skalbart.
• Kontrollerad tokenlivslängd: Genom att tillåta en utgångstid blir tokens automatiskt ogiltiga efter en viss period, vilket minskar risken för att komprometterade tokens missbrukas.
• Sömlös integrering: Den utnyttjar den befintliga Joomla-användardatabasen, så det finns inget behov av att hantera en separat uppsättning inloggningsuppgifter för API-åtkomst.

Genomförande

Autentiseringsprocessen implementerades i två distinkta faser: tokengenerering och tokenvalidering:

• Tokengenerering:
• En användare måste först begära en token genom att skicka sina autentiseringsuppgifter till en ny, säker slutpunkt.
• Denna begäran måste innehålla deras Joomla Användarnamn och LösenordDessutom en fördefinierad hemlig nyckel och en önskad utgångstid måste levereras.
• Vårt system validerar användarnamnet och lösenordet mot Joomlas användardatabas.
• Om autentiseringsuppgifterna är korrekta genereras en unik JWT, signeras med den hemliga nyckeln och skickas tillbaka till användaren.
• API-åtkomst med token:
• För att komma åt en skyddad Joomla API-slutpunkt måste användaren inkludera den genererade JWT:n i Tillstånd rubriken på deras begäran.
• Ett mellanprogramlager på Joomla-webbplatsen fångar upp varje API-anrop, kontrollerar om det finns en giltig JWT i headern och verifierar dess signatur och utgångsdatum.
• Om token är giltig behandlas begäran. Om den saknas, är ogiltig eller har utgångit returnerar API:et omedelbart en 401 obehörigt fel, blockerar åtkomst.

Resultat

Genom att skapa detta anpassade JWT-autentiseringssystem har vi framgångsrikt säkrat klientens Joomla API. Lösningen tillhandahåller en modern, säker och skalbar metod för användarautentisering som är direkt kopplad till deras befintliga Joomla-användarbas. Klienten kan nu tryggt ansluta sin webbplats till andra tjänster och applikationer, i vetskap om att deras data är skyddade och att åtkomsten är strikt kontrollerad per användare.

Ytterligare resurser

1. Anpassad API-autentisering för Joomla
2. Web3-autentisering för Joomla
3. Joomla säkerhetssköld