Natuurlijk! Hieronder geef ik een overzicht en een voorbeeldimplementatie voor een geavanceerd authenticatiesysteem in jouw CodeIgniter 3.1.11 API, waarbij meerdere methoden worden gecombineerd: OAuth 2.0 (met toegang- en refresh tokens), JWT voor sessiebeheer, en API-sleutels. --- ### 1. Overzicht van de aanpak - **OAuth 2.0**: voor autorisatie, met toegangstokens en refresh tokens. Dit zorgt voor veilige delegated toegang. - **JWT**: voor het beheren van sessies en het verstrekken van tokens die informatie bevatten over de gebruiker. - **API-sleutels**: voor eenvoudige authenticatie voor bijvoorbeeld server-to-server communicatie of beperkte toegang. ### 2. Architectuur en flow - **Authenticatie aanvragen**: - Via OAuth 2.0 "authorization_code" flow of client credentials. - Na succesvolle authenticatie wordt een JWT gegenereerd en gebruikt voor sessiebeheer. - **Tokens**: - **Access Token**: een JWT dat toegang geeft tot API-endpoints. - **Refresh Token**: een langlevend token om nieuwe access tokens te verkrijgen. - **API-sleutels**: kunnen worden gebruikt voor eenvoudige authenticatie of voor bepaalde client-interfaces. --- ### 3. Benodigdheden - **Libraries**: - [Firebase JWT](https://github.com/firebase/php-jwt) voor JWT-verwerking. - OAuth2 server library (bijvoorbeeld [oauth2-server-php](https://github.com/bshaffer/oauth2-server-php)), maar voor eenvoud kun je een eigen implementatie maken. - **Database tabellen**: - `users`: voor gebruikersgegevens. - `oauth_clients`: voor OAuth clients. - `oauth_tokens`: voor access- en refresh tokens. - `api_keys`: voor API-sleutels. --- ### 4. Voorbeeld: basisconfiguratie **Database structuur (voorbeeld):** ```sql CREATE TABLE users ( id INT AUTO_INCREMENT PRIMARY KEY, username VARCHAR(50), password VARCHAR(255) ); CREATE TABLE oauth_clients ( id INT AUTO_INCREMENT PRIMARY KEY, client_id VARCHAR(50), client_secret VARCHAR(255), redirect_uri VARCHAR(255), grant_types VARCHAR(50) ); CREATE TABLE oauth_tokens ( id INT AUTO_INCREMENT PRIMARY KEY, access_token VARCHAR(255), refresh_token VARCHAR(255), client_id VARCHAR(50), user_id INT, expires TIMESTAMP ); CREATE TABLE api_keys ( id INT AUTO_INCREMENT PRIMARY KEY, key VARCHAR(255), description VARCHAR(255), user_id INT ); ``` --- ### 5. Implementatie in CodeIgniter #### a. Composer dependencies installeren Gebruik Composer om Firebase JWT te installeren: ```bash composer require firebase/php-jwt ``` #### b. Configuratie (app/config/auth.php) ```php <?php defined('BASEPATH') OR exit('No direct script access allowed'); $config['jwt_secret'] = 'JOUW_ZEKERE_SLEUTEL'; $config['jwt_algorithm'] = 'HS256'; ``` #### c. Helper of Library: JWT Helper (`application/libraries/JWT.php`) ```php <?php defined('BASEPATH') OR exit('No direct script access allowed'); use \Firebase\JWT\JWT; class Jwt_lib { private $secret; private $algorithm; public function __construct() { $this->secret = $this->config->item('jwt_secret'); $this->algorithm = $this->config->item('jwt_algorithm'); } public function generate($payload) { return JWT::encode($payload, $this->secret, $this->algorithm); } public function decode($token) { try { return JWT::decode($token, $this->secret, [$this->algorithm]); } catch (Exception $e) { return false; } } } ``` #### d. Authenticatie Controller (`application/controllers/Auth.php`) ```php <?php defined('BASEPATH') OR exit('No direct script access allowed'); class Auth extends CI_Controller { public function __construct() { parent::__construct(); $this->load->model('Auth_model'); $this->load->library('jwt_lib'); $this->load->helper('url'); } // OAuth 2.2: token verkrijgen public function token() { $grant_type = $this->input->post('grant_type'); if ($grant_type == 'password') { // OAuth Password Grant $username = $this->input->post('username'); $password = $this->input->post('password'); $user = $this->Auth_model->get_user_by_credentials($username, $password); if ($user) { // Genereer tokens $access_token = $this->jwt_lib->generate([ 'user_id' => $user->id, 'exp' => time() + 3600 // 1 uur ]); $refresh_token = bin2hex(random_bytes(40)); // Bewaar refresh token in DB $this->Auth_model->save_refresh_token($user->id, $refresh_token); $response = [ 'access_token' => $access_token, 'expires_in' => 3600, 'refresh_token' => $refresh_token, 'token_type' => 'Bearer' ]; echo json_encode($response); } else { $this->output->set_status_header(401); echo json_encode(['error' => 'Ongeldige inloggegevens']); } } elseif ($grant_type == 'refresh_token') { // Refresh token $refresh_token = $this->input->post('refresh_token'); $user_id = $this->Auth_model->get_user_id_by_refresh_token($refresh_token); if ($user_id) { $access_token = $this->jwt_lib->generate([ 'user_id' => $user_id, 'exp' => time() + 3600 ]); $response = [ 'access_token' => $access_token, 'expires_in' => 3600, 'token_type' => 'Bearer' ]; echo json_encode($response); } else { $this->output->set_status_header(401); echo json_encode(['error' => 'Ongeldig refresh token']); } } else { $this->output->set_status_header(400); echo json_encode(['error' => 'Ongeldig grant_type']); } } // API-sleutel authenticatie public function api_key() { $api_key = $this->input->get_request_header('X-API-KEY'); if ($this->Auth_model->validate_api_key($api_key)) { echo json_encode(['status' => 'OK']); } else { $this->output->set_status_header(401); echo json_encode(['error' => 'Ongeldige API-sleutel']); } } } ``` #### e. Model voor database interactie (`application/models/Auth_model.php`) ```php <?php class Auth_model extends CI_Model { public function get_user_by_credentials($username, $password) { $this->db->where('username', $username); $user = $this->db->get('users')->row(); if ($user && password_verify($password, $user->password)) { return $user; } return false; } public function save_refresh_token($user_id, $refresh_token) { $data = [ 'refresh_token' => $refresh_token, 'user_id' => $user_id, 'expires' => date('Y-m-d H:i:s', time() + 30*24*3600) // 30 dagen ]; $this->db->insert('oauth_tokens', $data); } public function get_user_id_by_refresh_token($refresh_token) { $this->db->where('refresh_token', $refresh_token); $token = $this->db->get('oauth_tokens')->row(); return $token ? $token->user_id : false; } public function validate_api_key($key) { $this->db->where('key', $key); return $this->db->get('api_keys')->num_rows() > 0; } } ``` --- ### 6. Middleware / API-beveiliging Voor elk API-endpoint dat beveiligd moet worden, voeg je een check toe: ```php public function secure_endpoint() { $headers = $this->input->request_headers(); $auth_header = isset($headers['Authorization']) ? $headers['Authorization'] : ''; if (strpos($auth_header, 'Bearer ') === 0) { $token = substr($auth_header, 7); $decoded = $this->jwt_lib->decode($token); if ($decoded) { // Toegang toegestaan // $decoded->user_id bevat de gebruikerID } else { show_error('Ongeldig token', 401); } } else { show_error('Geen autorisatie header', 401); } } ``` --- ### 7. Samenvatting & verdere verbeteringen - **Token verversing**: automatisch vernieuwen via refresh tokens. - **Token invalidatie**: mogelijkheid om tokens te intrekken. - **Versterkte beveiliging**: gebruik HTTPS, beveilig API-sleutels, en controleer IP-adressen indien nodig. - **OAuth 2.0 implementatie**: voor complexere flows kun je overwegen een dedicated OAuth 2.0 library te gebruiken. --- ### 8. Conclusie Door bovenstaande aanpak te combineren, heb je een flexibel en veilig authenticatiesysteem dat OAuth 2.0, JWT en API-sleutels integreert. Je kunt nog verder uitbreiden door bijvoorbeeld OAuth scopes, client management en meer uitgebreide tokenbeheer te implementeren. --- Heeft u nog specifieke vragen of wenst u een meer gedetailleerde uitwerking van een bepaald onderdeel?

Ik help je graag een geavanceerd authenticatiesysteem voor CodeIgniter 3.1.11 te ontwerpen. Hier is een complete implementatie: ## 1. Vereiste Libraries Installeren ```bash # composer.json { "require": { "firebase/php-jwt": "^6.0", "league/oauth2-server": "^8.0", "league/oauth2-client": "^2.0" } } ``` ## 2. Database Structuur ```sql CREATE TABLE users ( id INT AUTO_INCREMENT PRIMARY KEY, email VARCHAR(255) UNIQUE, password VARCHAR(255), api_key VARCHAR(64) UNIQUE, created_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP ); CREATE TABLE oauth_access_tokens ( id INT AUTO_INCREMENT PRIMARY KEY, access_token VARCHAR(255) UNIQUE, user_id INT, expires_at DATETIME, revoked BOOLEAN DEFAULT FALSE, FOREIGN KEY (user_id) REFERENCES users(id) ); CREATE TABLE oauth_refresh_tokens ( id INT AUTO_INCREMENT PRIMARY KEY, refresh_token VARCHAR(255) UNIQUE, access_token_id INT, expires_at DATETIME, revoked BOOLEAN DEFAULT FALSE, FOREIGN KEY (access_token_id) REFERENCES oauth_access_tokens(id) ); ``` ## 3. Configuratie Bestanden **application/config/jwt.php** ```php <?php defined('BASEPATH') OR exit('No direct script access allowed'); $config['jwt_key'] = 'jouw_super_geheime_sleutel_minimaal_32_chars'; $config['jwt_algorithm'] = 'HS256'; $config['jwt_expire_time'] = 3600; // 1 uur ``` **application/config/oauth2.php** ```php <?php defined('BASEPATH') OR exit('No direct script access allowed'); $config['oauth2'] = [ 'private_key' => APPPATH . 'keys/private.key', 'public_key' => APPPATH . 'keys/public.key', 'encryption_key' => 'encryption_key_here', 'access_token_expire' => 3600, 'refresh_token_expire' => 1209600 ]; ``` ## 4. Core Authentication Library **application/libraries/Auth.php** ```php <?php defined('BASEPATH') OR exit('No direct script access allowed'); use \Firebase\JWT\JWT; use \Firebase\JWT\Key; class Auth { private $ci; private $jwt_key; private $jwt_algorithm; public function __construct() { $this->ci =& get_instance(); $this->ci->load->config('jwt'); $this->jwt_key = $this->ci->config->item('jwt_key'); $this->jwt_algorithm = $this->ci->config->item('jwt_algorithm'); } // JWT Token genereren public function generate_jwt($user_data) { $issued_at = time(); $expire = $issued_at + $this->ci->config->item('jwt_expire_time'); $payload = [ 'iss' => base_url(), 'aud' => base_url(), 'iat' => $issued_at, 'exp' => $expire, 'data' => $user_data ]; return JWT::encode($payload, $this->jwt_key, $this->jwt_algorithm); } // JWT Token valideren public function validate_jwt($token) { try { $decoded = JWT::decode($token, new Key($this->jwt_key, $this->jwt_algorithm)); return (array) $decoded->data; } catch (Exception $e) { return false; } } // API Key validatie public function validate_api_key($api_key) { $this->ci->load->model('User_model'); return $this->ci->User_model->get_user_by_api_key($api_key); } // OAuth 2.0 Token validatie public function validate_oauth_token($token) { // Implementatie met league/oauth2-server $this->ci->load->library('Oauth_server'); return $this->ci->oauth_server->validateAccessToken($token); } } ``` ## 5. OAuth 2.0 Server Implementation **application/libraries/Oauth_server.php** ```php <?php defined('BASEPATH') OR exit('No direct script access allowed'); use League\OAuth2\Server\AuthorizationServer; use League\OAuth2\Server\Grant\PasswordGrant; use League\OAuth2\Server\Grant\RefreshTokenGrant; class Oauth_server { private $server; public function __construct() { $this->ci =& get_instance(); $this->ci->load->config('oauth2'); // Setup authorization server $this->setup_server(); } private function setup_server() { // Implementatie van OAuth2 server // Vereist additional setup voor repositories } public function issue_access_token($username, $password) { // Token uitgifte logica } public function validate_access_token($token) { // Token validatie logica } } ``` ## 6. Authentication Controller **application/controllers/Auth.php** ```php <?php defined('BASEPATH') OR exit('No direct script access allowed'); class Auth extends CI_Controller { public function __construct() { parent::__construct(); $this->load->library('auth'); $this->load->model('User_model'); } // Login met JWT public function login_jwt() { $email = $this->input->post('email'); $password = $this->input->post('password'); $user = $this->User_model->validate_credentials($email, $password); if ($user) { $jwt_token = $this->auth->generate_jwt([ 'user_id' => $user->id, 'email' => $user->email ]); $this->response([ 'status' => 'success', 'token' => $jwt_token, 'expires_in' => $this->config->item('jwt_expire_time') ], 200); } else { $this->response(['error' => 'Invalid credentials'], 401); } } // API Key authenticatie public function authenticate_api_key() { $api_key = $this->input->get_request_header('X-API-Key', TRUE); if (!$api_key) { $this->response(['error' => 'API Key required'], 401); } $user = $this->auth->validate_api_key($api_key); if ($user) { return $user; } else { $this->response(['error' => 'Invalid API Key'], 401); } } // OAuth 2.0 Token endpoint public function token() { $this->ci->load->library('oauth_server'); try { $response = $this->ci->oauth_server->respondToAccessTokenRequest(); $this->output->set_content_type('application/json'); $this->output->set_output($response->getBody()); } catch (Exception $e) { $this->response(['error' => $e->getMessage()], 500); } } } ``` ## 7. Base API Controller met Authentication **application/core/MY_Controller.php** ```php <?php defined('BASEPATH') OR exit('No direct script access allowed'); class MY_Controller extends CI_Controller { protected $user; public function __construct() { parent::__construct(); $this->load->library('auth'); $this->authenticate(); } private function authenticate() { // Check multiple authentication methods $auth_header = $this->input->get_request_header('Authorization', TRUE); if ($auth_header && preg_match('/Bearer\s+(.*)$/i', $auth_header, $matches)) { // JWT Authentication $this->user = $this->auth->validate_jwt($matches[1]); } elseif ($this->input->get_request_header('X-API-Key', TRUE)) { // API Key Authentication $this->user = $this->auth->validate_api_key( $this->input->get_request_header('X-API-Key', TRUE) ); } elseif ($this->input->get('access_token')) { // OAuth 2.0 Authentication $this->user = $this->auth->validate_oauth_token( $this->input->get('access_token') ); } if (!$this->user) { $this->response(['error' => 'Unauthorized'], 401); } } protected function response($data, $status = 200) { $this->output ->set_content_type('application/json') ->set_status_header($status) ->set_output(json_encode($data)); exit; } } ``` ## 8. Gebruik in API Endpoints **application/controllers/api/Users.php** ```php <?php defined('BASEPATH') OR exit('No direct script access allowed'); class Users extends MY_Controller { public function __construct() { parent::__construct(); $this->load->model('User_model'); } public function index_get() { // Alleen geauthenticeerde gebruikers kunnen deze endpoint benaderen $users = $this->User_model->get_all_users(); $this->response($users); } public function profile_get() { $user_profile = $this->User_model->get_user_profile($this->user['user_id']); $this->response($user_profile); } } ``` ## 9. .htconfig voor Token Ondersteuning ```apache RewriteEngine On RewriteCond %{HTTP:Authorization} ^(.*) RewriteRule ^(.*) - [E=HTTP_AUTHORIZATION:%1] ``` ## 10. Security Headers **application/config/config.php** ```php $config['global_xss_filtering'] = TRUE; $config['csrf_protection'] = TRUE; $config['csrf_token_name'] = 'csrf_token'; $config['csrf_cookie_name'] = 'csrf_cookie'; ``` Deze implementatie combineert drie authenticatiemethoden: 1. **JWT** voor stateless sessiebeheer 2. **OAuth 2.0** voor uitgebreide autorisatie 3. **API Keys** voor eenvoudige service-to-service communicatie Elke methode heeft zijn eigen use-cases en security overwegingen. Zorg ervoor dat je: - Sterke cryptografische sleutels gebruikt - Tokens veilig opslaat en transporteert - Reguliere security audits uitvoert - Rate limiting implementeert voor alle endpoints