larave使用sanctum进行API鉴权

最新推荐文章于 2024-05-12 09:32:35 发布
最新推荐文章于 2024-05-12 09:32:35 发布
阅读量2k 收藏 3
点赞数 2
分类专栏: 笔记 文章标签: php 数据库 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/silk_java/article/details/125887331
版权

目标

1.使用laravel框架进行用户的登录,注册,认证
2.前后端分离的情况下,用户请求接口,使用API token进行认证

步骤

安装启动

composer create-project laravel/laravel example-app
cd example-app   
php artisan serve

此时,通过访问http://127.0.0.1:8000就可以看到访问成功了

安装扩展包

接下来安装laravel官方的扩展包Sanctum,以达到目标

composer require laravel/sanctum

接下来,你需要使用 vendor:publish Artisan 命令发布 Sanctum 的配置和迁移文件。Sanctum 的配置文件将会保存在 config 文件夹中:

php artisan vendor:publish --provider="Laravel\Sanctum\SanctumServiceProvider"

修改配置文件

然后需要修改.env文件文件里面的数据库配置,改为:

DB_CONNECTION=mysql
DB_HOST=127.0.0.1
DB_PORT=3306
DB_DATABASE=caixin
DB_USERNAME=root
DB_PASSWORD=root

数据库迁移

最后,您应该运行数据库迁移。 Sanctum 将创建一个数据库表来存储 API 令牌:

php artisan migrate

接下来,如果您想利用 Sanctum 对 SPA 进行身份验证,您应该将 Sanctum 的中间件添加到您应用的 app/Http/Kernel.php 文件中的 api 中间件组中:

'api' => [
    \Laravel\Sanctum\Http\Middleware\EnsureFrontendRequestsAreStateful::class,
    'throttle:api',
    \Illuminate\Routing\Middleware\SubstituteBindings::class,
],

此时查看app/Models/User.php文件,User 模型应使用 Laravel\Sanctum\HasApiTokens trait:

use Laravel\Sanctum\HasApiTokens;

class User extends Authenticatable
{
    use HasApiTokens, HasFactory, Notifiable;
}

模拟数据

此时,在数据库中的user表中随便加入一条数据

INSERT INTO `users` (`id`, `name`, `email`, `email_verified_at`, `password`, `remember_token`, `created_at`, `updated_at`)
VALUES
	(1, 'java0904', '2954245@qq.com', NULL, '', NULL, NULL, NULL);

添加访问路由

此时在routes/api.php中配置路由,来获取token


Route::middleware('auth:sanctum')->get('/user', function (Request $request) {
    return $request->user();
});

Route::post('/tokens/create', function (Request $request) {
    $user = \App\Models\User::find(1);
    模拟登陆,此时,会将用户的session存储,但是实际通过API认证的时候,此处用不到
//    \Illuminate\Support\Facades\Auth::login($user);
    $token =$user->createToken($user->name);

    return ['token' => $token->plainTextToken];
})->withoutMiddleware('auth:sanctum');

测试获取token

此时访问http://127.0.0.1:8000/api/tokens/create,就可以拿到了token

curl方式

curl -d '' http://127.0.0.1:8000/api/tokens/create
{"token":"7|ZbSuwu7UBDeQjvXx6iNUCcZJKsbSSO6nctmqLjDq"}

postman测试

在这里插入图片描述

测试其他接口

不带token

此时,来访问其他API接口,都需要带上Authorization token才能访问了,否则,会出现如下异常
在这里插入图片描述

带上token

此时,把token带上,效果如下

curl测试
curl -H 'Authorization: Bearer 7|ZbSuwu7UBDeQjvXx6iNUCcZJKsbSSO6nctmqLjDq' http://local.app.com/api/user

{"id":1,"name":"java0904","email":"295424581@qq.com","email_verified_at":null,"created_at":null,"updated_at":null}
postman测试

在这里插入图片描述

知识点补充1

app/Providers/RouteServiceProvider.php 这个文件的作用以及核心代码分析

<?php

class RouteServiceProvider extends ServiceProvider
{
    public function boot()
    {
        $this->configureRateLimiting();

        $this->routes(function () {
            //routes/api.php这个路由文件里面的路由,默认都会使用api中间件,并且路由前缀是/api
            Route::prefix('api')
//                ->middleware(['api'])//这里是默认的中间件,默认只有一个
                //这里我加上了auth:sanctum这个中间件,作为全局使用,就不用为每个路由加上这个中间件了,但是获取token的路由,需要排除这个中间件
                ->middleware(['api','auth:sanctum'])
                ->namespace($this->namespace)
                ->group(base_path('routes/api.php'));

            //'routes/web.php'这个文件里面的路由,默认都会使用web这个中间件
            Route::middleware('web')
                ->namespace($this->namespace)
                ->group(base_path('routes/web.php'));
        });
    }
}

上面的代码提到了两个自带的中间件apiweb,他们的定义在app/Http/Kernel.php文件中,它的核心代码如下:

protected $middlewareGroups = [
        //web中间件
        'web' => [
            \App\Http\Middleware\EncryptCookies::class,
            \Illuminate\Cookie\Middleware\AddQueuedCookiesToResponse::class,
            \Illuminate\Session\Middleware\StartSession::class,
            // \Illuminate\Session\Middleware\AuthenticateSession::class,
            \Illuminate\View\Middleware\ShareErrorsFromSession::class,
            //这里需要格外注意,所有/route/web.php中的路由,如果是post请求,都会有csrfToken的验证,当然也可以手动给排除一些路由
            \App\Http\Middleware\VerifyCsrfToken::class,
            \Illuminate\Routing\Middleware\SubstituteBindings::class,
        ],

        //api中间件
        'api' => [
             \Laravel\Sanctum\Http\Middleware\EnsureFrontendRequestsAreStateful::class,
            'throttle:api',
            \Illuminate\Routing\Middleware\SubstituteBindings::class,
        ],
    ];

注意看web中间件中有 \App\Http\Middleware\VerifyCsrfToken::class,
这行,他的作用是所有/route/web.php中的路由,如果是post请求,都会有csrfToken的验证,当然也可以手动给排除一些路由

知识点补充2

/route/api.php

<?php

use Illuminate\Http\Request;
use Illuminate\Support\Facades\Route;

/*
|--------------------------------------------------------------------------
| API Routes
|--------------------------------------------------------------------------
|
| Here is where you can register API routes for your application. These
| routes are loaded by the RouteServiceProvider within a group which
| is assigned the "api" middleware group. Enjoy building your API!
|
*/

Route::middleware('auth:sanctum')->get('/user', function (Request $request) {
    return $request->user();
});

Route::post('/tokens/create', function (Request $request) {
    $user = \App\Models\User::find(1);
    模拟登陆,此时,会将用户的session存储,但是实际通过API认证的时候,此处用不到
    //    \Illuminate\Support\Facades\Auth::login($user);
    $token = $user->createToken($user->name);

    return ['token' => $token->plainTextToken];
})->withoutMiddleware('auth:sanctum');


Route::post('/tokens/create2', function (Request $request) {
    //这里可以写自己的一些验证逻辑
    //用户来获取token,必须携带用户名和密码
    $password = $request->get("password");
    $username = $request->get("username");
    $user = \App\Models\User::where('password', $password)->where('username', $username)->first();
    if (!$user) {
        return [
            'code' => 500,
            'msg' => '用户名密码错误'
        ];
    }
    $token = $user->createToken($user->name);
    return ['token' => $token->plainTextToken];
})->withoutMiddleware('auth:sanctum');

//用来写使用session,不是前后端分离的用户登陆
Route::post('/login', function (Request $request) {
    //laravel内部的验证方式
    if (\Illuminate\Support\Facades\Auth::attempt([
        'username' => $request->get("name"),
        'password' => $request->get("password")])) {
        //登陆成功
        //保存session
    } else {
        //登陆失败
    }
})->withoutMiddleware('auth:sanctum');

代码仓库

https://github.com/silk-java/laravel-sanctum-learn

micro_cloud_fly
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
laravel进阶学习之中间件
qq_41592719的博客
11-09 943
中间件一共分为三种 1.全局中间件 2.路由中间件 3.中间件组 全局中间件 顾名思义全局中间件件就是每次请求都会经过的中间件,具体的位置在 app/Http/Kernel.php的$middleware 也就是在处理请求时的管道操作sendRequestThroughRouter里面底层的闭包pipes() lavavel的默认全局中间件做了什么操作可以自己进去看下,包括检测代理的标头,检测配置配置以查看 CORS 服务,请求携带的数据量,属性的名称处理,还有转换数据...
laravel-sanctum-api:使用Laravel 8和Sanctum进行身份验证的REST API
04-01
带有SanctumLaravel REST API 这是在Laravel Sanctum使用身份验证令牌的REST API的示例 用法 将.env.example更改为.env并添加数据库信息 对于SQLite,添加 DB_CONNECTION=sqlite DB_HOST=127.0.0.1 DB_PORT=3306 在数据库目录中创建一个database.sqlite文件 # Run the webserver on port 8000 php artisan serve 路线 # Public GET /api/products GET /api/products/:id POST /api/login @body: email, password POST /api/register @body: name, email, password, password
推荐使用 Laravel Sanctum:打造安全的SPA和简单API认证系统
最新发布
gitblog_00001的博客
05-12 433
推荐使用 Laravel Sanctum:打造安全的SPA和简单API认证系统 项目地址:https://gitcode.com/laravel/sanctum 一、项目介绍 Laravel Sanctum 是一个轻量级的认证系统,专为单页应用(SPA)和简单的API设计。它的目标是提供一种简洁而高效的方式,让开发者能够在不复杂化的前提下实现应用的用户认证。 二、项目技术分析 Sanctum的核...
Laravel API认证插件Sanctum
xiao__xf的博客
11-08 546
composer global require laravel/installer #安装laravel。
request怎么添加不使用持久连接_Laravel教程:使用Laravel Sanctum 作为 API 认证来构建 Vue.js 应用
weixin_39522927的博客
10-22 245
原文链接:https://learnku.com/laravel/t/43077 讨论请前往专业的 Laravel 开发者论坛:https://learnku.com/Laravel 身份验证系统是大多数现代应用程序的重要组成部分,因此应适当实施。在本文中,您将学习到如何使用 Vue.js 和 Laravel Sanctum (以前的 Airlock )构建身份验证系统。我们会创建一个前后端分离...
Laravel Sanctum使用
巴啦啦臭魔仙的博客
01-06 1437
Sanctum 可以在配置文件中通过expiration来设置过期时间,单位为分钟,但无法灵活地设置过期时间。
Simple-laravel-API:使用laravel和sanctum来控制用户身份验证和访问令牌的API
04-11
该项目正在使用Laravel版本8 Laravel是一个Web应用程序框架,具有表达力强,优雅的语法。 我们认为,发展必须是一种令人愉快的,富有创造力的经历,才能真正实现。 Laravel减轻了许多Web项目中使用的常见任务,从而减轻了开发过程中的痛苦,例如: 。 。 用于和存储的多个后端。 富有表现力,直观的 。 数据库不可知。 。 。 Laravel易于访问,功能强大,并提供大型,强大的应用程序所需的工具。 学习Laravel Laravel拥有所有现代Web应用程序框架中最广泛,最全面的和视频教程库,因此轻而易举地开始使用该框架。
sanctum-api:使用Sanctum的基本Laravel API示例
05-24
Laravel通过减轻许多Web项目中使用的常见任务来减轻开发工作的痛苦,例如: 。 。 用于和存储的多个后端。 富有表现力,直观的 。 数据库不可知。 。 。 Laravel易于访问,功能强大,并提供大型,强大的...
laravel-api:Laravel和Sanctum&Fortify的基础安装,设置为API
05-24
安装后,配置并使用JWT进行API认证。 **错误处理** Laravel 提供了统一的错误响应格式,可以自定义`app/Exceptions/Handler.php`中的`render`方法,以返回JSON错误格式。 **安全与性能** 为了提高API的安全性,应...
laravel7-sanctum-spa-api:Laravel 7.0 Sanctum SPA API端点演示
05-24
Laravel通过减轻许多Web项目中使用的常见任务来减轻开发工作的痛苦,例如: 。 。 用于和存储的多个后端。 富有表现力,直观的 。 数据库不可知。 。 。 Laravel易于访问,功能强大,并提供大型,强大的应用程序所...
laravel-api:Laravel 8 REST API使用Sanctum Auth进行搜索
04-02
使用模型 产品控制器和方法 创建产品和验证 单一产品和资源路线 更新产品 删除产品 搜索产品 圣所设置 保护路线 验证控制器 注册用户并获取令牌 注销和删除令牌 登录用户并获取令牌 执照 Laravel框架是根据的开源...
laravelAPI鉴权
08-07
这是一个 laravel 的 API 鉴权包, laravel-api-auth 采用密钥加密的鉴权方式,只要客户端不被反编译从而泄露密钥,该鉴权方式理论上来说是安全的(不考虑量子计算机的出现)。
laravel Sanctum vue
征途人生&梦
05-30 783
Authentication systems are a vital part of most modern applications, and should thus be appropriately implemented. In this article, you will learn how to build an authentication system usingVue.jsandLaravel Sanctum(former Airlock). We are going to cr...
laravel  JWTAuth实现api接口鉴权(基础篇)
aftermetyou的博客
04-27 767
laravel JWTAuth实现api接口鉴权(基础篇) 官网:https://jwt-auth.readthedocs.io 参考:https://learnku.com/articles/10885/full-use-of-jwt#99529f 1、token是什么 token 翻译为令牌,就是鉴别身份的凭据,类似于身份证; token 本质就是一大串字符串,最常用的场景就是接口对接的鉴权。...
laravel8 实现接口鉴权封装使用JWT
code_nutter的博客
07-25 641
2.在App文件下新建Server文件夹,新建JwtServer类。4.在中间件中写入,将token放入header中传输。1.下载composer依赖包。6.在路由中使用中间件。
Laravel常用扩展sanctum与medoo的使用
weixin_39218464的博客
02-27 2498
2、创建loginApi登录接口,用于生成token并将token存入redis缓存,并根据token失效时间’expiration’ => 60 * 2设置redis值的失效时间,因为sanctum是以分钟为单位,redis是以秒为单位需要乘60换算。参考文档:https://learnku.com/docs/laravel/7.x/sanctum/7510。2、为config/sanctum.php配置文件设置到期时间,sanctum是以分钟为单位。1、配置bootstrap/app.php
利用Laravel Sanctum针对SPA和简单API的轻量级身份验证系统。
qq_41688060的博客
04-23 3715
利用Laravel Sanctum针对SPA和简单API的轻量级身份验证系统。 安装 Laravel Sanctum 首先使用 Composer 安装该软件包 composer require laravel/sanctum 接下来运行以下命令发布迁移文件(并运行迁移): php artisan vendor:publish --provider="Laravel\Sanctum\SanctumServiceProvider" php artisan migrate Sanctum 安装的最后一部分要求
Laravel8 Sanctum API认证+Vue问卷 搭建前后端分离SPA应用
老富的博客
03-28 1424
Laravel8.x扩展Sanctum+Vue搭建前后端分离的问卷SPA应用1. Sanctum 授权前后端框架1.1 Sanctum 验证扩展1.1.1 安装Sanctum1.1.2 配置API中间件1.1.3 Cookie 跨子域配置1.2 问卷API框架1.2.1 数据模型1.2.2 API控制器1.2.2.1 用户验证控制器1.2.2.2 问卷数据控制器1.2.3 API路由1.3 前端框架1.3.1 创建VUE前端项目1.3.2 登录页视图1.3.3 登录脚本1.4 登录验证流程测试2 1. Sa
laravel 广播系统私有频道认证的流程和详细机制
07-09
使用Laravel的广播系统时,你可以通过私有频道来限制只有经过认证的用户才能订阅和接收广播事件。下面是私有频道认证的流程和详细机制: 1. 配置广播驱动:在Laravel的配置文件(`config/broadcasting.php`)中,设置你所选择的广播驱动,比如使用pusher、redis等。 2. 定义私有频道:在应用程序中,你需要定义私有频道。可以在`routes/channels.php`文件中使用`Broadcast::channel`方法来定义私有频道。例如: ```php Broadcast::channel('private-channel.{userId}', function ($user, $userId) { return $user->id === $userId; }); ``` 上述示例中,`private-channel.{userId}`是私有频道的名称,`{userId}`是一个变量,表示用户ID。在回调函数中,可以根据需要来定义用户对该频道的访问权限。 3. 认证私有频道:当客户端订阅私有频道时,需要进行频道的认证。认证过程通常通过Ajax请求来完成。 - 客户端订阅私有频道:客户端使用Laravel Echo库来订阅私有频道,例如: ```javascript Echo.private('private-channel.' + userId) .listen('PrivateEvent', (data) => { // 处理接收到的数据 }); ``` - 服务器端认证:客户端发送Ajax请求到服务器,请求进行私有频道的认证。请求中通常携带用户的认证信息,如token或cookie。 - 服务器端处理认证请求:在服务器端,你需要创建一个认证路由,处理私有频道的认证请求。可以使用Laravel提供的`Broadcast::auth`方法来定义认证路由。例如: ```php Broadcast::routes(['middleware' => ['auth:sanctum']]); ``` 上述示例中,使用Laravel Sanctum中间件来进行身份验证。你也可以根据自己的需求选择其他适合的身份验证方式。 4. 认证逻辑:在认证路由处理方法中,你可以根据请求中携带的认证信息,对用户进行身份验证。验证成功后,返回一个认证通过的响应。例如: ```php Broadcast::channel('private-channel.{userId}', function ($user, $userId) { return $user->id === $userId; }); Broadcast::routes(['middleware' => ['auth:sanctum']]); Route::post('/broadcasting/auth', function (Illuminate\Http\Request $request) { $channelName = $request->input('channel_name'); $userId = $request->user()->id; if (! starts_with($channelName, 'private-channel.')) { return response()->json([], 403); } $channelNameSegments = explode('.', $channelName); $requestedUserId = end($channelNameSegments); if ($userId != $requestedUserId) { return response()->json([], 403); } $auth = $request->user()->createToken('Laravel Broadcasting')->plainTextToken; return response()->json(['auth' => $auth]); }); ``` 上述示例中,首先对请求的频道名称进行验证,确保只有私有频道才能进行认证。然后,根据频道名称中的用户ID和请求中的用户ID进行比较,以确保只有对应的用户才能认证通过。 认证通过后,可以生成一个用于广播系统认证的token,并返回给客户端。 5. 客户端认证:客户端接收到服务器返回的认证token后,使用Laravel Echo的`privateChannel`和`auth`方法进行频道认证。例如: ```javascript Echo.private('private-channel.' + userId) .auth(authToken) .listen('PrivateEvent', (data) => { // 处理接收到的数据 }); ``` 上述示例中,`authToken`是服务器返回的认证token。 通过以上流程和机制,私有频道的认证可以确保只有经过身份验证的用户才能订阅和接收广播事件。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

micro_cloud_fly

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值