Практическое руководство: Создание защищенного REST API на PHP с нуля

В современной веб-экосистеме необходимость обмена данными между различными сервисами стала стандартом. Разработка собственного REST API на PHP — это не только вопрос функциональности, но и, в первую очередь, безопасности и надежности. В этой статье мы разберем ключевые этапы создания API, уделив особое внимание защите от распространенных уязвимостей.

Архитектура и базовая настройка REST API

REST (Representational State Transfer) — это архитектурный стиль, основанный на использовании HTTP-методов (GET, POST, PUT, DELETE) и статус-кодов. Первый шаг — правильная маршрутизация. Вместо обработки всех запросов в одном файле index.php, используйте .htaccess для их перенаправления на единую точку входа.

Пример конфигурации .htaccess для API

• RewriteEngine On
• RewriteCond %{REQUEST_FILENAME} !-f
• RewriteCond %{REQUEST_FILENAME} !-d
• RewriteRule ^(.*)$ index.php?url=$1 [QSA,L]

В index.php вы парсите параметр `url`, определяете запрашиваемый ресурс и HTTP-метод, а затем вызываете соответствующий контроллер. Важно сразу установить заголовки для ответа в формате JSON: `header('Content-Type: application/json; charset=utf-8');`.

Безопасная аутентификация: JWT как стандарт

Использование сессий или передачи логина и пароля в каждом запросе не подходит для API. Стандартом де-факто стал JSON Web Token (JWT). При успешной аутентификации сервер генерирует токен, состоящий из трех частей: заголовка, полезной нагрузки (payload) и подписи.

Как работает JWT-аутентификация

• Клиент отправляет учетные данные (например, логин/пароль) на эндпоинт `/auth`.
• Сервер проверяет их, генерирует JWT с помощью секретного ключа и возвращает клиенту.
• Клиент включает этот токен в заголовок `Authorization: Bearer ` всех последующих запросов.
• Сервер проверяет подпись токена и его срок действия перед обработкой запроса.

Для работы с JWT в PHP можно использовать библиотеку `firebase/php-jwt`. Никогда не храните конфиденциальные данные в payload токена, так как он легко декодируется.

Валидация и санация входящих данных

Одна из главных угроз — инъекции (SQL, XSS). Каждый параметр, пришедший от клиента, должен рассматриваться как недоверенный.

• Для данных, используемых в SQL-запросах, применяйте подготовленные выражения (Prepared Statements) с PDO или MySQLi.
• Все строковые данные необходимо очищать с помощью `htmlspecialchars()` или фильтров `filter_var()`.
• Строго валидируйте типы данных (ожидаете число — приведите к `int` или используйте `filter_var` с `FILTER_VALIDATE_INT`).
• Ограничивайте длину входящих строк и допустимые символы с помощью регулярных выражений.

Контроль доступа (CORS) и ограничение запросов (Rate Limiting)

Если ваш API будут использовать фронтенд-приложения с других доменов, необходимо корректно настроить CORS (Cross-Origin Resource Sharing). Простой, но небезопасный способ — разрешить все (`*`). На практике следует явно указывать разрешенные домены, методы и заголовки.

Rate Limiting защищает API от DDoS-атак и злоупотреблений. Реализуйте подсчет запросов с одного API-ключа или IP-адреса за определенное время (например, 100 запросов в минуту). Данные о счетчиках можно хранить в быстром хранилище, таком как Redis или Memcached.

Базовый пример Rate Limiting на PHP

Ключевая логика: перед обработкой запроса проверяем в Redis, сколько раз за последнюю минуту обращался данный ключ. Если лимит превышен — возвращаем статус 429 (Too Many Requests) с заголовком `Retry-After`.

Логирование и мониторинг

Безопасный API немыслим без детального логирования. Записывайте в лог все важные события: неудачные попытки аутентификации, превышение лимитов запросов, ошибки валидации, обращения к критичным эндпоинтам. Это поможет не только в отладке, но и в анализе попыток взлома. Используйте структурированный формат (например, JSON) для удобства парсинга системами мониторинга.

Создание REST API — это создание шлюза к вашим данным. Подход «безопасность по умолчанию» должен быть основополагающим. Начните с минимальных необходимых прав, строгой валидации и обязательной аутентификации, и только затем добавляйте функциональность. Это сэкономит вам время на исправление уязвимостей в будущем и укрепит доверие клиентов к вашему сервису.