Larave框架通過sanctum進行API鑑權詳解

2022-07-29 14:01:47

目標

1.使用laravel框架進行使用者的登入，註冊，認證

2.前後端分離的情況下，使用者請求介面，使用API token進行認證

步驟

安裝啟動

composer create-project laravel/laravel example-app
cd example-app
php artisan serve

此時，通過存取http://127.0.0.1:8000就可以看到存取成功了

安裝擴充套件包

接下來安裝laravel官方的擴充套件包Sanctum，以達到目標

composer require laravel/sanctum

接下來，你需要使用 vendor:publish Artisan 命令釋出 Sanctum 的設定和遷移檔案。Sanctum 的組態檔將會儲存在 config 資料夾中：

php artisan vendor:publish --provider="LaravelSanctumSanctumServiceProvider"

修改組態檔

然後需要修改.env檔案檔案裡面的資料庫設定，改為：

DB_CONNECTION=mysql
DB_HOST=127.0.0.1
DB_PORT=3306
DB_DATABASE=caixin
DB_USERNAME=root
DB_PASSWORD=root

資料庫遷移

最後，您應該執行資料庫遷移。 Sanctum 將建立一個資料庫表來儲存 API 令牌：

php artisan migrate

接下來，如果您想利用 Sanctum 對 SPA 進行身份驗證，您應該將 Sanctum 的中介軟體新增到您應用的 app/Http/Kernel.php 檔案中的 api 中介軟體組中：

'api' => [
    LaravelSanctumHttpMiddlewareEnsureFrontendRequestsAreStateful::class,
    'throttle:api',
    IlluminateRoutingMiddlewareSubstituteBindings::class,
],

此時檢視app/Models/User.php檔案，User 模型應使用 LaravelSanctumHasApiTokens trait：

use LaravelSanctumHasApiTokens;
class User extends Authenticatable
{
    use HasApiTokens, HasFactory, Notifiable;
}

模擬資料

此時，在資料庫中的user表中隨便加入一條資料

INSERT INTO `users` (`id`, `name`, `email`, `email_verified_at`, `password`, `remember_token`, `created_at`, `updated_at`)
VALUES
	(1, 'java0904', '2954245@qq.com', NULL, '', NULL, NULL, NULL);

新增存取路由

此時在routes/api.php中設定路由，來獲取token

Route::middleware('auth:sanctum')->get('/user', function (Request $request) {
    return $request->user();
});
Route::post('/tokens/create', function (Request $request) {
    $user = AppModelsUser::find(1);
    模擬登陸,此時，會將使用者的session儲存，但是實際通過API認證的時候，此處用不到
//    IlluminateSupportFacadesAuth::login($user);
    $token =$user->createToken($user->name);
    return ['token' => $token->plainTextToken];
})->withoutMiddleware('auth:sanctum');

測試獲取token

此時存取http://127.0.0.1:8000/api/tokens/create，就可以拿到了token

curl方式

curl -d '' http://127.0.0.1:8000/api/tokens/create
{"token":"7|ZbSuwu7UBDeQjvXx6iNUCcZJKsbSSO6nctmqLjDq"}

postman測試

測試其他介面

不帶token

此時，來存取其他API介面，都需要帶上Authorization token才能存取了，否則，會出現如下異常

帶上token

此時，把token帶上，效果如下

curl測試

curl -H 'Authorization: Bearer 7|ZbSuwu7UBDeQjvXx6iNUCcZJKsbSSO6nctmqLjDq' http://local.app.com/api/user
{"id":1,"name":"java0904","email":"295424581@qq.com","email_verified_at":null,"created_at":null,"updated_at":null}

postman測試

知識點補充1

app/Providers/RouteServiceProvider.php 這個檔案的作用以及核心程式碼分析

<?php
class RouteServiceProvider extends ServiceProvider
{
    public function boot()
    {
        $this->configureRateLimiting();
        $this->routes(function () {
            //routes/api.php這個路由檔案裡面的路由，預設都會使用api中介軟體，並且路由字首是/api
            Route::prefix('api')
//                ->middleware(['api'])//這裡是預設的中介軟體，預設只有一個
                //這裡我加上了auth:sanctum這個中介軟體，作為全域性使用，就不用為每個路由加上這個中介軟體了，但是獲取token的路由，需要排除這個中介軟體
                ->middleware(['api','auth:sanctum'])
                ->namespace($this->namespace)
                ->group(base_path('routes/api.php'));
            //'routes/web.php'這個檔案裡面的路由，預設都會使用web這個中介軟體
            Route::middleware('web')
                ->namespace($this->namespace)
                ->group(base_path('routes/web.php'));
        });
    }
}

上面的程式碼提到了兩個自帶的中介軟體api和web，他們的定義在app/Http/Kernel.php檔案中，它的核心程式碼如下：

protected $middlewareGroups = [
        //web中介軟體
        'web' => [
            AppHttpMiddlewareEncryptCookies::class,
            IlluminateCookieMiddlewareAddQueuedCookiesToResponse::class,
            IlluminateSessionMiddlewareStartSession::class,
            // IlluminateSessionMiddlewareAuthenticateSession::class,
            IlluminateViewMiddlewareShareErrorsFromSession::class,
            //這裡需要格外注意，所有/route/web.php中的路由，如果是post請求，都會有csrfToken的驗證，當然也可以手動給排除一些路由
            AppHttpMiddlewareVerifyCsrfToken::class,
            IlluminateRoutingMiddlewareSubstituteBindings::class,
        ],
        //api中介軟體
        'api' => [
             LaravelSanctumHttpMiddlewareEnsureFrontendRequestsAreStateful::class,
            'throttle:api',
            IlluminateRoutingMiddlewareSubstituteBindings::class,
        ],
    ];

注意看web中介軟體中有 AppHttpMiddlewareVerifyCsrfToken::class,

這行，他的作用是所有/route/web.php中的路由，如果是post請求，都會有csrfToken的驗證，當然也可以手動給排除一些路由

知識點補充2

/route/api.php

<?php
use IlluminateHttpRequest;
use IlluminateSupportFacadesRoute;
/*
|--------------------------------------------------------------------------
| API Routes
|--------------------------------------------------------------------------
|
| Here is where you can register API routes for your application. These
| routes are loaded by the RouteServiceProvider within a group which
| is assigned the "api" middleware group. Enjoy building your API!
|
*/
Route::middleware('auth:sanctum')->get('/user', function (Request $request) {
    return $request->user();
});
Route::post('/tokens/create', function (Request $request) {
    $user = AppModelsUser::find(1);
    模擬登陸,此時，會將使用者的session儲存，但是實際通過API認證的時候，此處用不到
    //    IlluminateSupportFacadesAuth::login($user);
    $token = $user->createToken($user->name);
    return ['token' => $token->plainTextToken];
})->withoutMiddleware('auth:sanctum');
Route::post('/tokens/create2', function (Request $request) {
    //這裡可以寫自己的一些驗證邏輯
    //使用者來獲取token，必須攜帶使用者名稱和密碼
    $password = $request->get("password");
    $username = $request->get("username");
    $user = AppModelsUser::where('password', $password)->where('username', $username)->first();
    if (!$user) {
        return [
            'code' => 500,
            'msg' => '使用者名稱密碼錯誤'
        ];
    }
    $token = $user->createToken($user->name);
    return ['token' => $token->plainTextToken];
})->withoutMiddleware('auth:sanctum');
//用來寫使用session，不是前後端分離的使用者登陸
Route::post('/login', function (Request $request) {
    //laravel內部的驗證方式
    if (IlluminateSupportFacadesAuth::attempt([
        'username' => $request->get("name"),
        'password' => $request->get("password")])) {
        //登陸成功
        //儲存session
    } else {
        //登陸失敗
    }
})->withoutMiddleware('auth:sanctum');