美文网首页
laravel  JWTAuth实现api接口鉴权(基础篇)

laravel  JWTAuth实现api接口鉴权(基础篇)

作者: 浩克啊12138 | 来源:发表于2022-04-27 13:14 被阅读0次

    laravel JWTAuth实现api接口鉴权(基础篇)

    官网:https://jwt-auth.readthedocs.io
    参考:https://learnku.com/articles/10885/full-use-of-jwt#99529f

    1、token是什么

    token 翻译为令牌,就是鉴别身份的凭据,类似于身份证;
    token 本质就是一大串字符串,最常用的场景就是接口对接的鉴权。
    token 通过一次登录验证,得到一个鉴权字符串,随后其它的请求每次都携带这个鉴权字符串,即可完成鉴权。

    2、jwt是什么

    jwt 全称json web token(翻译为数据网络令牌)
    jwt 是一种规范化的 token,让数据在网络中安全传输。
    jwt 使用场景:

    无状态的 RESTful API
    SSO 单点登录

    3、jwt安装&配置

    3.1、通过composer安装

    //安装1.0以上版本

    composer require tymon/jwt-auth 1.*@rc
    
    

    3.2、配置

    添加配置(config/app.php)

    //providers元素中添加:
    Tymon\JWTAuth\Providers\LaravelServiceProvider::class,
    
    //aliases元素中添加:
    'JWTAuth' => Tymon\JWTAuth\Facades\JWTAuth::class,
    'JWTFactory' => Tymon\JWTAuth\Facades\JWTFactory::class,
    
    

    发布配置

    php artisan vendor:publish --provider="Tymon\JWTAuth\Providers\LaravelServiceProvider"
    //会自动生成一个配置文件:config/jwt.php
    
    

    3.3、生成加密密钥

    php artisan jwt:secret
    //.env 文件下生成一个加密密钥
    
    

    3.4、更新生成token模型

    如果使用默认的 User 表来生成 token,app\user.php

    实现JWTSubject接口,实现getJWTIdentifier()和getJWTCustomClaims()方法

    use Tymon\JWTAuth\Contracts\JWTSubject;
    
    class User extends Authenticatable implements JWTSubject
    {
        ...
        public function getJWTIdentifier()
        {
            return $this->getKey();
        }
    
        public function getJWTCustomClaims()
        {
            return [];
        }
    }
    
    

    3.5.修改 auth.php

    config/auth.php

    'guards' => [
        'web' => [
            'driver' => 'session',
            'provider' => 'users',
        ],
        'api' => [
            'driver' => 'jwt',      // 原来是 token 改成jwt
            'provider' => 'users',
        ],
    ],
    
    

    4、jwt准备

    4.1、新建控制器

    php artisan make:controller AuthController
    
    

    4.2、控制器添加方法

    官方案例:

    login登录,me获取用户信息,logout退出登录,refresh刷新token,respondWithToken返回token

    <?php
    namespace App\Http\Controllers;
    
    class AuthController extends Controller
    {
        /**
         * Create a new AuthController instance.
         * 要求附带email和password(数据来源users表)
         * @return void
         */
        public function __construct()
        {
            // 这里额外注意了:官方文档样例中只除外了『login』
            // 这样的结果是,token 只能在有效期以内进行刷新,过期无法刷新
            // 如果把 refresh 也放进去,token 即使过期但仍在刷新期以内也可刷新
            // 不过刷新一次作废
            $this->middleware('auth:api', ['except' => ['login']]);
            // 另外关于上面的中间件,官方文档写的是『auth:api』
            // 但是我推荐用 『jwt.auth』,效果是一样的,但是有更加丰富的报错信息返回
        }
    
        /**
         * Get a JWT via given credentials.
         *
         * @return \Illuminate\Http\JsonResponse
         */
        public function login()
        {
            $credentials = request(['email', 'password']);
    
            if (! $token = auth('api')->attempt($credentials)) {
                return response()->json(['error' => 'Unauthorized'], 401);
            }
    
            return $this->respondWithToken($token);
        }
    
        /**
         * Get the authenticated User.
         *
         * @return \Illuminate\Http\JsonResponse
         */
        public function me()
        {
            return response()->json(auth('api')->user());
        }
    
        /**
         * Log the user out (Invalidate the token).
         *
         * @return \Illuminate\Http\JsonResponse
         */
        public function logout()
        {
            auth('api')->logout();
    
            return response()->json(['message' => 'Successfully logged out']);
        }
    
        /**
         * Refresh a token.
         * 刷新token,如果开启黑名单,以前的token便会失效。
         * 值得注意的是用上面的getToken再获取一次Token并不算做刷新,两次获得的Token是并行的,即两个都可用。
         * @return \Illuminate\Http\JsonResponse
         */
        public function refresh()
        {
            return $this->respondWithToken(auth('api')->refresh());
        }
    
        /**
         * Get the token array structure.
         *
         * @param  string $token
         *
         * @return \Illuminate\Http\JsonResponse
         */
        protected function respondWithToken($token)
        {
            return response()->json([
                'access_token' => $token,
                'token_type' => 'bearer',
                'expires_in' => auth('api')->factory()->getTTL() * 60
            ]);
        }
    }
    
    

    4.3、添加路由

    routes/api.php

    Route::group(['prefix' => 'auth'], function(){
        Route::post('login', 'AuthController@login');
        Route::post('logout', 'AuthController@logout');
        Route::post('refresh', 'AuthController@refresh');
        Route::post('me', 'AuthController@me');
    });
    
    

    4.4、添加users表数据

    可以注册是如何添加的,看一下密码的加密方式

    App\Http\Controllers\Auth\RegisterController

    ...
    protected function create(array $data)
    {
        return User::create([
            'name' => $data['name'],
            'email' => $data['email'],
            'password' => Hash::make($data['password']),
        ]);
    }
    
    

    添加一条用户数据

    routes/web.php

    Route::get('/register', function(){
        \App\User::create([
            'name' => 'bb',
            'email' => 'test@bb.com',
            'password' => \Illuminate\Support\Facades\Hash::make('123456'),
        ]);
    });
    
    

    [图片上传失败...(image-97f6c7-1651036462945)]

    5、jwt使用

    jwt koken两种使用方式

    加到 url 中:?token=你的token

    加到 header 中,建议用这种,因为在 https 情况下更安全:Authorization:Bearer 你的token

    [图片上传失败...(image-faa71d-1651036462945)]

    [图片上传失败...(image-b1d9f7-1651036462945)]

    第二种方式的 Bearer Bearer Bearer 别漏了,

    也可以在 AuthController respondWithToken() 返回的时候加上 'Bearer '.$token

    6、结果

    1、登录返回token

    经测试,登录多次产生的token都可以在有效期内使用

    [图片上传失败...(image-b83cb2-1651036462945)]

    其他接口请求时,携带登录返回的token

    2、获取用户信息

    [图片上传失败...(image-c15e33-1651036462945)]

    3、退出,删除token

    [图片上传失败...(image-25e7e6-1651036462944)]

    4、刷新token

    相关文章

      网友评论

          本文标题:laravel  JWTAuth实现api接口鉴权(基础篇)

          本文链接:https://www.haomeiwen.com/subject/rszkyrtx.html