PHP 開放有驗證功能的 API 接口

這是嘗試前後端分離時遇到問題，需要了解

1. handshake between cilent and server
2. needed params in 1
3. how to design server program and cilent request

過程

Client

1. 先透過 {帳號, 密碼} 取得用戶資料和登入用 token
2. 需要驗證的 api 請求，在請求的 header 帶入訪問 token
3. 每次進入需要驗證的頁面，client 都須驗證是否為登入狀態（須同步 api 的登入狀況）
4. 同 2，在頁面中每次請求 api 資料，須在 header 帶入訪問 token

Server

1. 設計登入用的接口
2. 因應可能改版的驗證機制，路徑上允許 v1/v2/....
3. header 接 jwt 用
4. 特定頁面群組驗證 api request

Question

1. jwt 用到的 secret，如何讓兩端使用同一組 secret 卻又不曝露？

閱讀

• 淺談RESTful API認證 Token機制使用經驗分享
• PHP開發api接口安全驗證
• [ASP.NET WebApi]使用JWT進行web api驗證
• *Authorization Data Flow
• How to simplify your app’s authentication by using JSON Web Token