laravel 5.5 -- Authentication 认证 laravel 安全

最新推荐文章于 2024-09-13 14:53:50 发布
最新推荐文章于 2024-09-13 14:53:50 发布
阅读量1.4k 收藏
点赞数
分类专栏: laravel5-5 文章标签: laravel5.5

简介

认证系统主要由两部分组成:

guards
每个请求中,怎么认证用户
例如:通过 session guard

providers
怎样从持久化存储中获取用户
例如:通过 Eloquent, DB

一般来说,不用修改默认的认证配置

认证快速开始

php artisan make:auth

修改跳转地址

protected $redirectTo = '/';

# 方法的优先级高于属性定义
protected function redirectTo()
{
    return '/path';
}

认证字段修改

public function username(){
    return 'username';
}

自定义 guard

use Illuminate\Support\Facades\Auth;
# 返回的应该是 a guard instance
protected function guard()
{
    return Auth::guard('guard-name');
}

路由认证指定 guard

->middleware('auth:api');

如果登录失败次数过多,会禁止登录一段时间。判断的标准是 username 方法返回值和 ip 。

手动认证用户

# 当你不喜欢自带的控制器去认证用户,你可以移除这些控制器,
# 引入 Auth 利用 attempt 手动认证
if (Auth::attempt(['email' => $email, 'password' => $password])) {
    // 认证成功后会产生 session
    return redirect()->intended('dashboard');
}

if (Auth::attempt(['email' => $email, 'password' => $password, 'active' => 1])) {
    // 字段 active 必须是 1
}

if (Auth::guard('admin')->attempt($credentials)) {
    // 指定 guard
}

登出

Auth::logout();

记住用户 (无限期)

# $remember 是个 bool 值
if (Auth::attempt(['email' => $email, 'password' => $password], $remember)) {
    // The user is being remembered...
}

# 判断是否选择了记住用户
if (Auth::viaRemember()) {
    //
}
Auth::login($user);
Auth::login($user, true);  // 记住
Auth::guar('admin')->login($user);
Auth::loginUsingId(1);
Auth::loginUsingId(1, true);
Auth::once($credentials); // 临时认证,无状态的。

无登录页面, 利用弹窗请求认证用户

Route::get('profile', function(){
    // ...
})->middleware('auth.basic');

# 如果使用 php fastcgi,可能会失效,可以在 .htaccess 里面加入
RewriteCond %{HTTP:Authorization} ^(.+)$
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]

利用中间件

namespace App\Http\Middleware;

use Illuminate\Support\Facades\Auth;

class AuthenticateOnceWithBasicAuth
{
    public function handle($request, $next)
    {
        return Auth::onceBasic() ?: $next($request);
    }

}
# 注册中间件后 ->middleware('auth.basic.once');

增加自定义 guard

# extend 方法
class AuthServiceProvider extends ServiceProvider
{
    /**
     * Register any application authentication / authorization services.
     *
     * @return void
     */
    public function boot()
    {
        $this->registerPolicies();

        Auth::extend('jwt', function ($app, $name, array $config) {
            // Return an instance of Illuminate\Contracts\Auth\Guard...

            return new JwtGuard(Auth::createUserProvider($config['provider']));
        });
    }
}

增加自定义 provider

# extend 方法
class AuthServiceProvider extends ServiceProvider
{
    /**
     * Register any application authentication / authorization services.
     *
     * @return void
     */
    public function boot()
    {
        $this->registerPolicies();

        Auth::provider('riak', function ($app, array $config) {
            // Return an instance of Illuminate\Contracts\Auth\UserProvider...

            return new RiakUserProvider($app->make('riak.connection'));
        });
    }
}

API 认证

Gates 和 Policies

一般情况下,可以替换使用这两者进行认证。相比较而言,Gates 一般是个闭包,简单的逻辑。而 Policies 可能会涉及到模型或者资源。

Gates

# App\Providers\AuthServiceProvider
public function boot()
{
    $this->registerPolicies();

    Gate::define('update-post', function ($user, $post) {
        return $user->id == $post->user_id;
    });
}

public function boot()
{
    $this->registerPolicies();

    Gate::define('update-post', 'PostPolicy@update');
}

Gate::resource('posts', 'PostPolicy');
# Gate::define('posts.view', 'PostPolicy@view');
# Gate::define('posts.create', 'PostPolicy@create');
# Gate::define('posts.update', 'PostPolicy@update');
# Gate::define('posts.delete', 'PostPolicy@delete');

Gate::resource('posts', 'PostPolicy', [
    'image' => 'updateImage',
    'photo' => 'updatePhoto',
]);
# Gate::define('post.image', 'PostPolicy@updateImage');
# Gate::define('post.photo', 'PostPolicy@updatePhoto');

if (Gate::allows('update-post', $post)) {
    // The current user can update the post...
}

if (Gate::denies('update-post', $post)) {
    // The current user can't update the post...
}

if (Gate::forUser($user)->allows('update-post', $post)) {
    // The user can update the post...
}

if (Gate::forUser($user)->denies('update-post', $post)) {
    // The user can't update the post...
}

Policies

php artisan make:policy PostPolicy --model=Post

# AuthServiceProvider 
use App\Policies\PostPolicy;
use App\Post;
protected $policies = [
    Post::class => PostPolicy::class,
];

# PostPolicy
public function update(User $user, Post $post)
{
    return $user->id === $post->user_id;
}
// 没有模型,只有一个参数的情况,一般 create 会是这种情况
public function create(User $user)
{
    //
}
# 在最前端认证,一般是管理员在这里认证
public function before($user, $ability): bool
{
    if ($user->isSuperAdmin()) {
        return true;
    }
}

# 使用
if ($user->can('update', $post)) {
    //
}
# 如果 给定的模型 即 $post 已经注册了 policy ,会调用合适的 policy,
# 如果没有注册,会尝试查找和操作名称相匹配的 Gate 。

# 如果是只有一个参数,如 create 操作
use App\Post;
if ($user->can('create', Post::class)) {
    // Executes the "create" method on the relevant policy...
}

# 通过中间件
use App\Post;
Route::put('/post/{post}', function (Post $post) {
    // The current user may update the post...
})->middleware('can:update,post');   // 第二个参数是 路由参数
// 认证失败返回 403
# 如果是只有一个参数,如 create 操作
Route::post('/post', function () {
    // The current user may create posts...
})->middleware('can:create,App\Post');

# 在控制器中
public function update(Request $request, Post $post)
{
    $this->authorize('update', $post);
    // The current user can update the blog post...
    // 授权失败返回 403
}
# 如果是只有一个参数,如 create 操作
public function create(Request $request)
{
    $this->authorize('create', Post::class);
}



# 在 blade 中使用
@can('update', $post)
    <!-- The Current User Can Update The Post -->
@elsecan('create', App\Post::class)
    <!-- The Current User Can Create New Post -->
@endcan

@cannot('update', $post)
    <!-- The Current User Can't Update The Post -->
@elsecannot('create', App\Post::class)
    <!-- The Current User Can't Create New Post -->
@endcannot
# 类似于
@if (Auth::user()->can('update', $post))
    <!-- The Current User Can Update The Post -->
@endif

@unless (Auth::user()->can('update', $post))
    <!-- The Current User Can't Update The Post -->
@endunless

@can('create', App\Post::class)
    <!-- The Current User Can Create Posts -->
@endcan
# 如果是只有一个参数,如 create 操作
@cannot('create', App\Post::class)
    <!-- The Current User Can't Create Posts -->
@endcannot

laravel 加密

encrypt($yourString)   // 这是内部序列化后再加密
try {
    $decrypted = decrypt($encryptedValue);   
    // 如果加密值被修改,或非法值传入,抛出异常 DecryptException
} catch (DecryptException $e) {
    //
}


# 如果不需要序列化加解密
$encrypted = Crypt::encryptString('Hello world.');
$decrypted = Crypt::decryptString($encrypted);

laravel Hash

利用了 Bcrypt ,会随着硬件的加强而加强加密 hash。

$passwordIntoDB = Hash::make($request->newPassword);
# 验证
if (Hash::check('plain-text', $hashedPassword)) {
    // The passwords match...
}
# 验证是否需要重新加密
/**
The needsRehash function allows you to determine 
if the work factor used by the hasher has changed 
since the password was hashed.
这句话理解很久,不太明白它的意思。
since 这儿应该翻译成自从。
意思是自从密码哈希后,你可以利用这个函数确定哈希的哈希因子是否改变过,
以至于我们需要重新进行哈希。
*/


if (Hash::needsRehash($hashed)) {
    $hashed = Hash::make('plain-text');
}
OneGoal
关注
专栏目录
Laravel安全Authentication
蛐蛐的博客
11-15 581
1.简介 Laravel使实现身份验证非常简单。 实际上,几乎所有内容都为您提供了现成的配置。 身份验证配置文件位于config / auth.php中,其中包含一些文档齐全的选项,用于调整身份验证服务的行为。 Laravel的身份验证工具的核心是“防护者”和“提供者”。 防护措施定义了如何针对每个请求对用户进行身份验证。 例如,Laravel附带有会话防护,该防护使用会话存储和cookie维护状态。 提供程序定义如何从持久性存储中检索用户。 Laravel附带支持使用Eloquent和数...
Laravel-学习笔记-多用户表登陆分析与实现(Authentication)
HotIce0
10-14 4234
个人博客:www.saoguang.top​​​​​​​ 框架版本:Laravel5.5 Laravel-学习笔记-多用户表登陆分析与实现 (Authentication) 前言:根据Laravel的开发文档,只需要下面两条artisan命令就能够构建起一个完整的认证系统,这个认证系统只支持单用户类型。但是很多情况下,我们的网站需要有管理员用户,有时管理员用户还和普通用户的ID不一样,可...
laravel5.5入门(dingo+jwt)
最新发布
SilentVoidCan的专栏
09-13 762
首先我们确保本机已经配置好PHP和mysql。所有问题默认回答y,等待命令执行完毕。laravel的脚手架确实还是非常好用,这样一个新的项目就已经创建完毕了,可以直接运行查看。正常的话我们就可以在浏览器输入http://127.0.0.1:8000看到Laravel样式的输出。
Laravel5.3使用auth登录验证
json_li的博客
10-21 2358
1.使用命令行直接设置 想要更快上手?只需要在新安装的Laravel应用下运行 php artisan make:auth ,然后在浏览器中访问 http://your-app.dev/register ,该命令会生成用户登录注册所需要的所有东西。 Laravel 提供了几个预置的认证控制器,位于 App\Http\Controllers\Auth 命名空间下, RegisterCon
Laravel核心代码学习--用户认证系统(基础介绍)
瑾的日常
07-02 463
用户认证系统(基础介绍) 使用过Laravel的开发者都知道,Laravel自带了一个认证系统来提供基本的用户注册、登录、认证、找回密码,如果Auth系统里提供的基础功能不满足需求还可以很方便的在这些基础功能上进行扩展。这篇文章我们先来了解一下Laravel Auth系统的核心组件。 Auth系统的核心是由 Laravel认证组件的「看守器」和「提供器」组成。看守器定义了该如何认证每个请求中用户。例如,Laravel 自带的 session 看守器会使用 session 存储和 cookies 来维
laravel5.5 服务(一) 用户认证简单自定义
qimingyuan5的博客
01-15 2809
最近在学习laravel框架,作为一个极客当然要学习最新版本,对于laravel框架,自带了很多服务,对于初学者来说,框架的目录结构都不是很了解,所以我来帮大家找找,基础设置的文件,和代码设置。 今天我来说说用户认证: 使用artisan make:auth 创建auth 验证 下一步创建数据库,laravel自带数据迁移功能,我本地使用自建的数据表(本人还是同喜欢lar
cas:Laravel 5-8的简单CAS身份验证
05-01
中国科学院 Laravel 6-8.x的简单CAS身份验证。 此版本的CAS或中央身份验证服务旨在与需要实施SSO的Laravel 6-8项目集成。... Laravel 5.5 Package Discovery支持 CAS注销方法支持重定向服务作为辅助
API 系列教程(一):基于 Laravel 5.5 构建 和 测试 RESTful API
彳亍
12-02 1772
随着移动开发和 JavaScript 框架的日益流行,使用 RESTful API 在数据层和客户端之间构建交互接口逐渐成为最佳选择。 在本系列教程中,将会带领大家基于 Laravel 5.5 来构建并测试带认证功能的 RESTful API。 RESTful API 先要了解什么是 RESTful API。REST 是 Representational State Transfer 的缩写...
Laravel 5.5 使用 Jwt-Auth 实现 API 用户认证、刷新令牌(一)
woqianduo的博客
11-16 9787
需求: 新项目,采用前后端分离的模式,前端使用 Vue.js,后端使用 Laravel 5.5构建 Api 服务,用户认证的包使用 jwt-auth 。 概述: JWT(JSON Web Token)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。 更详细讲解地址:https://laravel...
Laravel开发-twofactor-auth
08-27
总之,Laravel中的2FA增强了Web应用的安全性,而"laravel-two-factor-authentication-master" 包简化了这一过程。通过以上步骤,你可以为Laravel 5.5项目添加双因素身份验证功能,并选择MessageBird作为可靠的验证...
laravel5.5 jwt使用
qq_27084325的博客
08-15 201
BaseController <?php namespace App\Http\Controllers\v1; use App\Http\Controllers\Controller; use Dingo\Api\Routing\Helpers; class BaseController extends Controller { use Helpers; } A...
自定义laravel登录认证
weixin_41539438的博客
05-22 529
laravel为我们提供了登录模块,但开发过程中难免遇到前后端不通登录页面、不通用户表的情况,这时我们将要自己再写一个登录的controller 在这我们先看一下原来的登录模块是怎么登录的 vendor\laravel\framework\src\Illuminate\Routing\Router.php 不难看出路由将get与post请求分别发给了LoginController中的showLoginForm、login两个方法处理, 打开LoginController,发现里面并没有showLoginF
Laravel学习笔记(23)laravel6 认证与授权(web)
qj4865的博客
02-15 381
原文:https://qianjinyike.com/laravel-%E5%86%85%E7%BD%AE-web-%E8%AE%A4%E8%AF%81/ 什么是web认证 用户注册成功(登陆成功)后。在服务器端生成 session 文件,并返回session文件名存入客户端cookie中。 用户带着cookie中的session文件名去服务器端中查找session文件,找到了就认证成功,否则...
Laravel5.5源码详解 -- Auth中间件
tanmx219的博客
12-28 8479
Laravel5.5源码详解 – Auth中间件为了体现全貌,前面的代码部分没有做太多删减,重点关注特别加入的注释部分。原文的注释删除,以减少阅读篇幅。本文重点在后面的流程讲解,这些比较详细。如果光看官方的文档,碰到问题的时候往往还是不知所云。所以,熟练的运用,应该建立在对源码的深刻了解的基础上。而其流程是了解源码的第一步。了解这些,开发时才能游刃有余。在App\Http\Kernel中注册的<?p
laravel api接口+令牌认证登录
weixin_43995959的博客
07-19 1063
laravel的 授权登录 api+令牌 附登录注册代码和结果
Laravel Passport API 认证使用小结
weixin_34206899的博客
08-04 383
看到Laravel-China社区常有人问Laravel Passport用于密码验证方式来获取Token的问题,刚好我最近一个API项目使用Laravel Dingo Api+Passport,也是使用Oauth2 的'grant_type' => 'password'密码授权来做Auth验证,对于如何做登录登出,以及多账号系统的...
Laravel8中间件拦截token
沉默的熊猫的博客
12-01 612
1.创建中间接 php artisan make:middleware CheckAge 2.引用创建的中间件 protected $routeMiddleware = [ 'auth' => \App\Http\Middleware\Authenticate::class, 'auth.basic' => \Illuminate\Auth\Middleware\AuthenticateWithBasicAuth::class, 'c
laravel auth.php,Laravel 用户认证 Auth
weixin_42510608的博客
03-20 1402
很多应用是需要登陆后才能操作,Laravel提供了一个auth工具来实现用户的认证功能。并且有一个config/auth.php来配置auth工具。大概看一下auth工具的常用方法Auth::check();// 判断当前用户是否未登录Auth::guest();// 判断当前用户是否未登录,与 check() 相反Auth::guard();// 自定义看守器 默认为 `web`Auth::us...
Laravel Country-State 功能包开发指南
- 认证Authentication)和授权(Authorization)机制。 - 输入验证和防范常见的Web攻击,如XSS和CSRF。 6. Laravel的高级特性 - 事件(Events)和监听器(Listeners)。 - 作业(Jobs)和队列(Queue)系统。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值