php auth api扩展,API 鉴权新姿势 - 签名鉴权扩展包:laravel-api-auth

最新推荐文章于 2024-03-16 09:30:20 发布
最新推荐文章于 2024-03-16 09:30:20 发布
阅读量331 收藏
点赞数
文章标签: php auth api扩展

API 鉴权新姿势 - 签名鉴权扩展包:laravel-api-auth

由 学院君 创建于3年前, 最后更新于 6个月前

版本号 #3

12440 views

1 likes

0 collects

简介

laravel-api-auth 是一个 Laravel API 鉴权包,使用密钥 + 随机字符串 + 时间戳做种子加密生成签名的鉴权方式,只要客户端不被反编译从而泄露密钥,该鉴权方式理论上来说是安全的(不考虑量子计算机的出现)。

安装

在项目根目录下使用 Composer 进行安装:

composer require 96qbhy/laravel-api-auth

配置

注册 ServiceProvider:

Qbhy\LaravelApiAuth\ServiceProvider::class,

注:Laravel 5.5+ 版本不需要手动注册

发布配置文件

php artisan vendor:publish --provider="Qbhy\LaravelApiAuth\ServiceProvider"

在 App\Http\Kernal 中注册中间件

protected $routeMiddleware = [

'api_auth' => Qbhy\LaravelApiAuth\LaravelApiAuthMiddleware::class,

// other ...

];

添加 role

php artisan api_auth

然后按照格式把 access_key 和 secret_key 添加到, config/api_auth.php 里面的 roles 数组中。

'roles' => [

'{access_key}' => [

'name' => '{role_name}', // 角色名字,例如 android

'secret_key' => '{secret_key}',

],

],

自定义签名方法 (可选)

config/api_auth.php 中的 encrypting 可以修改为自定义的签名函数,该函数将传入三个参数: 密钥: $secret_key、随机字符串: $echostr、时间戳: $timestamp,返回签名后的字符串。该函数默认为:

/**

* @param $secret_key

* @param $echostr

* @param $timestamp

* @return string

*/

function encrypting($secret_key, $echostr, $timestamp){

return md5($secret_key . $echostr . $timestamp);

}

自定义签名校验规则(可选)

config/api_auth.php 中的 rule 可以修改为自定义的校验函数,该函数将传入三个参数: 密钥: $secret_key、客户端签名: $signature、服务端签名: $server_signature,必须返回布尔值。该函数默认为:

/**

* @param $secret_key

* @param $signature

* @param $server_signature

* @return bool

*/

function rule($secret_key, $signature, $server_signature){

return $signature === $server_signature;

}

自定义错误处理(可选)

config/api_auth.php 中的 error_handler 可以修改为自定义的错误处理函数,该函数将传入两个参数: 请求: $request、错误码: $code。该函数默认为:

/**

* @param Request $request

* @param int $code

* @return \Illuminate\Http\JsonResponse

*/

function error_handler($request, $code){

return response()->json([

'msg' => 'Forbidden',

'code' => $code

], 403);

}

$code 可能是以下几个值中的一个:

LaravelApiAuthMiddleware::LACK_HEADER -> 缺少请求头。

LaravelApiAuthMiddleware::ACCESS_KEY_ERROR -> access_key 错误。

LaravelApiAuthMiddleware::SIGNATURE_ERROR -> 签名错误。

LaravelApiAuthMiddleware::SIGNATURE_LAPSE -> 签名失效,客户端签名时间和服务端签名时间差超过设置的 timeout 值。

LaravelApiAuthMiddleware::SIGNATURE_REPETITION -> 签名重复,规定时间内出现两次或以上相同的签名。

使用

路由

Route::get('api/example', function(Request $request){

// $request->get('client_role');

// todo...

})->middleware(['api_auth']);

\\ or

Route::group(['middleware'=>'api_auth'], function(){

// routes...

});

通过验证后 $request 会添加一个 client_role 字段,该字段为客户端的角色名称。

前端

import axios from 'axios';

const access_key = '{access_key}'; // 服务端生成的 access_key

const secret_key = '{secret_key}'; // 服务端生成的 secret_key

const timestamp = Date.parse(new Date()) / 1000; // 取时间戳

const echostr = 'asldjaksdjlkjgqpojg64131321'; // 随机字符串自行生成

function encrypting(secret_key, echostr, timestamp){

return md5(secret_key + echostr + timestamp); // md5 库自行引入

}

const requestConfig = {

headers: {

"api-signature": encrypting(secret_key, echostr, timestamp),

"api-echostr": echostr,

"api-timestamp": timestamp,

"api-access-key": access_key

}

};

axios.post('/api/example',{},requestConfig).then(res=>{

// todo

});

本例子为 web 前端的例子,其他客户端同理,生成签名并且带上指定参数即可正常请求。

通过自定义签名方法和自定义校验方法,可以使用其他加密方法进行签名,例如 哈希 等其他加密算法。更多自定义可以直接复制 Qbhy\LaravelApiAuth\LaravelApiAuthMiddleware 中间件后自行修改 。有问题请在 GitHub 项目中发起 issue 。

啥雷慧星
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
api-auth
03-05
nodejs-restful-api 如何使用Node.js创建RESTful CRUD API? 本教程将演示如何使用mongodb作为数据库来设置裸机API。 它由用户模型和控制器组成。 该模型定义数据,控制器将含与数据库交互所需的所有业务逻辑。 它具有一个用于将应用程序连接到数据库的db文件,以及一个用于引导应用程序本身的应用程序文件。 服务器文件用于启动服务器,并告诉应用程序在特定端口上侦听。 完整的教程可以在以下找到: : “#api-auth”“#api-auth
php生成PDF电子合同签名
03-15
php生成PDF电子合同签名
laravel的api登陆认证
你华还是你华
07-25 1711
本文目录一、tymon/jwt-auth api认证1.1 安装tymon/jwt-auth1、安装tymon/jwt-auth1-1 安装报错可看,不报错可越过。2、发布配置文件,生成 JWT_SECRET3、更User模型4、配置 Auth guard二、dingo/api配置三、认证例子3.1 失败例子1、认证路由2、认证路由方法3.2 成功例子1、登陆路由2、登陆路由方法四、根据token获取用户信息 Dingo/Api认证文档 JWT介绍文档 一、tymon/jwt-auth api认证 1.1
API Auth - 安全、简单地管理你的API访问
最新发布
gitblog_00037的博客
03-16 387
API Auth - 安全、简单地管理你的API访问API Auth 是一个基于 JWT 的轻量级身份验证库,它提供了一个简单的 API 来处理用户的登录状态和访问控制。 项目简介 API Auth 是为了解决 RESTful API 的授问题而设计的。它的主要功能括: 用户登录认证(支持用户名/密码、API 密钥等多种方式) 发布/订阅模式的令牌管理 可定制的角色和限系统 支持多种...
laravel-token-demo:定制Laravel API令牌认证教程的演示
03-22
验证用户令牌的方法实际上扩展了默认的Laravel令牌auth。 安装 您可以通过composer安装该软件: git clone https://github.com/ReeceM/laravel-token-demo.git 然后,您要安装作曲家文件: composer install ...
auth0-laravel-php-web-app:Laravel Web应用程序的Auth0集成示例
02-06
Auth0 Laravel示例 这些样本演示了如何将Auth0身份验证添加到Laravel应用程序。 上面的每个文件夹都含一个不同的应用程序,因此可以单独查看各种Auth0功能。 什么是Auth0? Auth0可帮助您: 使用添加身份验证,...
laravel-face-auth:Laravel Face身份验证
02-03
安装您可以通过Composer安装软件: $ composer require mpociot/laravel-face-auth 将服务提供商添加到您的config/app.php : Mpociot \ FaceAuth \ FaceAuthServiceProvider ::class, 在您的config/auth.php ,将...
laravel-janitor:login轻松将登录代理添加到您的Laravel API
05-03
轻松将登录代理添加到您的Laravel API 使用signifly/laravel-janitor软件,您可以轻松地将登录代理添加到您的Laravel API。 您可以找到两篇文章,引导您开始使用: 文献资料 要开始使用,您必须安装laravel/...
fastapi-jwt-auth:提供JWT Auth支持的FastAPI扩展(安全,易于使用和轻量级)
04-01
提供JWT Auth支持(安全,易于使用和轻量级)的FastAPI扩展,如果您熟悉flask-jwt-extended,此扩展适合您,则导致此扩展受flask-jwt-extended的启发 :grinning_face: 访问令牌和刷令牌 鲜代币 吊销代币 支持...
php用户,app开发之 PHP
weixin_42509409的博客
03-10 542
当我们在写接口的时候,一定会碰到接口安全相关。一般会有两种情况。不需要用户参与,比如客户端读取闻列表、用户列表。需要用户参与,比如修改用户的信息,评论闻的内容等。针对1的设计,可以在公共参数上下功夫,比如一般框架的请求都会有“controller”"action",然后客户端和服务端再定义一个加密字符串,比如"!@#$%",然后进行字符串排序拼接,然后hash。(比如md5),客户端在发送请求...
Laravel 使用 JWT 实现 API Auth, 打造用户授接口
ppxin的专栏
03-25 575
https://learnku.com/articles/6216/laravel-uses-jwt-to-implement-api-auth-to-build-user-authorization-interfaces
laravel里api路由的 auth:apiapi_token
q412539429的博客
02-21 3325
基于 Laravel Auth 实现自定义接口 API 用户认证详解
weixin_34174322的博客
07-07 1042
基于 laravel 默认的 auth 实现 api 认证 现在微服务越来越流行了. 很多东西都拆分成独立的系统,各个系统之间没有直接的关系. 这样我们如果做用户认证肯定是统一的做一个独立的 用户认证 系统,而不是每个业务系统都要重去写一遍用户认证相关的东西. 但是又遇到一个问题了. laravel 默认的auth 认证 是基于数据库做的,如果要微服务架构可怎么做呢? 实现代码如下: UserP...
laravel身份验证-Auth的使用
zl20117的博客
12-27 9235
laravel自带了auth类和User模型来帮助我们很方便的实现用户登陆、判断。 首先,先配置一下相关参数 app/config/auth.php: model指定模型 table指定用户表 这里我只是将 table从 users改成 user,因为我个人在数据库命名方面喜欢用单数。 app/models/User.php: protecte
laravel使用api认证
weixin_44694538的博客
08-20 408
首先在user表中建一个api_token字段: $table->string('api_token', 60)->unique(); image.png 在user表中加入一个用户,只要保证api_token为111111就好 image.png 接下来在api.php路由中加入以下代码 Route::group...
阿里云调用api配置access_key
weixin_46335835的博客
09-13 2321
前言 阿里云调用api需要验证accesskey,由于多个脚本需要调用,所以我写在一个单独的脚本中 脚本内容: #!/usr/bin/env python #coding=utf-8 from aliyunsdkcore.client import AcsClient from aliyunsdkcore.auth.credentials import AccessKeyCredential credentials = AccessKeyCredential('Accesskey(根据实际情况修改)',
EasyNVR配置项api_auth获取接口,如何获得最高限?
EasyNVR官方技术博客
11-11 948
EasyNVR视频平台具备登录的机制,当然在演示平台情况下也支持匿名登录,如果需要对系统进行运维管理,则需要输入用户名密码登录。同时,接口也具备接口的机制,EasyNVR的配置文件easynvr.ini中有个配置项:api_auth;控制接口是否需要验证登录限。 接口如下: 在实际使用中发现关闭接口后,有的接口仍然没有返回数据,查找代码后发现有个别接口是需要有管理员限才能正确获取到数据。 但是关闭接口后本来就无需登录,也就不会有管理员账号限。所以需要针对这些接口进行特
java api_ApiAuthValue机制总结
weixin_42510460的博客
02-28 513
测试DemofunctionDateFormat(pattern, formatSymbols){if(pattern== null ||pattern==undefined){pattern= "yyyy-MM-dd HH:mm:ss SSS";}if(formatSymbols== null ||formatSymbols==undefined){formatSymbols= "yMdHmsS...
(WebApi)使用OAuth做身份认证
weixin_39250741的博客
05-17 1255
使用OAuth做身份认证需要自己创建一个Startup类,作为替代Global.asax的启动类,而使用Spring.net需要在Global.asax类上继承SpringMvcApplication,由于Startup变成启动类,Global.asax就不会执行,所以Spring.Net的配置也失效了,怎么办...
laravel项目的spatie/laravel-activitylog扩展如何记录批量日志?
05-28
使用 spatie/laravel-activitylog 扩展可以轻松记录模型的活动日志,括模型的创建、更和删除等操作。如果需要批量记录日志,可以使用 `Activity::collection()` 方法。 示例代码如下: ```php $activities =...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值