merhaba, oauth2, jsonwebtoken araştırırsan soruna cevap bulabilirsin.
jwt (json-web-token) üzerinden gidelim
1- apiye kullanıcı adi ve şifre gönderdin
2- api kullanıcı adi ve şifreni kontrol etti
3- eğer giriş bilgileri doğru ise, kullanıcı adınla tokeni imzaladı
4- imzalanmış tokeni sana gönderdi,
artik apiye her istek yaptiginda bu tokeni gonderiyorsun ve kimlik dogrulama islemleri bu token sayesinde oluyor
1 - istek attığında tekenizde apiye gönderdin
2 - api tokeni decode etti ve kullanici adini buldu ve kimligini dogruladi
jwt tokeni incelemek gerekirse
jwt token bu sekilde goruluyor. dikkat edersen . ile 3 parcaya bolunmus sekilde
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c
1. parça header
Tokenin algoritması, token tipi vs bilgiler barınıyor
ornek: header
{
"alg": "HS256",
"typ": "JWT"
}
2.parca payload
tokenin tuttuğu veriler ve tokenin ne zaman geçersiz olacağı gibi bilgiler tutuluyor
örnek payload:
{
"sub": "1234567890",
"name": "John Doe",
"iat": 1516239022
}
3.parca ise doğrulama imzası
burada ise tokenin geçerli olup olmadığını kontrol etmeye yarayan bilgiler bulunuyor.
HMACSHA256( base64UrlEncode(header) + "." + base64UrlEncode(payload), GithubdaBulunmayanCokGizliVeri)
forum'a sağ tıklayıp incelersen application > cookies altında, jwt tokenleri gorebilirsin. bu sekilde foruma giris yapmadan login olarak kalabiliyoruz
flarum_remember ve flarum_session cookielerini silersen forumdan logout olduğunu göreceksin
