laravel jwt实现用户认证登录

最新推荐文章于 2024-06-04 18:00:57 发布
最新推荐文章于 2024-06-04 18:00:57 发布
阅读量2.1k 收藏 13
点赞数 1
分类专栏: jwt laravel PHP 文章标签: laravel php jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45310179/article/details/120989859
版权
PHP 同时被 3 个专栏收录
14 篇文章 0 订阅
订阅专栏
laravel
9 篇文章 0 订阅
订阅专栏
jwt
1 篇文章 0 订阅
订阅专栏

一、什么是jwt,怎么运行的
1、jwt == Json Web Tokens
2、传统认证与jwt认证的区别与优势:
传统的方式:
主要是将认证后的用户信息储存在服务器上,比如Session。用户下次请求的时候带上Session Id,然后服务器以此查询用户是否认证过
在这里插入图片描述
传统认证方式的问题:
(1)、每次用户认证通过后,服务器需要创建一天记录保存用户信息,通常是在内存中,随着认证通过的用户越来越多,服务器在这里的开销就越来越大
(2)、session是在内存中,容易带来一些扩展性的问题
(3)、当我们想要扩展应用,需要多个服务器提供服务时,需要考虑session共享问题,不然可能会导致用户多次登录
(4)、用户容易收到csrf攻击,且要考虑客户端禁用cookie的问题

jwt认证方式
工作流程
在这里插入图片描述
1.用户携带用户名和密码登入;
2.服务器校验用户信息
3.然后服务器提供一个token给客户端(jwt)
4.客户端会存储token,并且在随后的每一次请求中都带着它
5.服务器校验token,并获取信息。

注意的点:
1.每一次请求都需要token
2.token应该放在请求header中
3.我们还需要将服务器设置为接受来自所有域的请求,用Access-Control-Allow-Origin:*

JWT组成结构;头部、负载、签名
jwt =》这是一个字符串在字符串中通过 . 进行分割; 分为了三个部分;
第一部分;header
第二部分:payload
第三部分:signature

使用jwt的好处
1、无状态和可扩展性:token存储在客户端,完全无状态,可扩展。负载均衡器可以将用户传递到任意服务器,因为在任何地方都没有状态或回话信息
2、安全性:token不是cookie,每次请求token都会被发送,由于没有cookie,有助于防止csrf攻击
3、token在一段时间后会过期,这个时候需要重新登录,有助于保持安全,还有一个概念叫token撤销,它允许我们根据相同的授权许可使特定的token甚至一组token无效

jwt的问题
1、token失效问题:比如在浏览器端通过用户名、密码验证获得签名的token被木马窃取,即使用户登出系统,黑客还是可以利用窃取的token模拟正常请求,可用它访问服务器,而服务器端对此完全不知道,因为jwt机制是无状态的,直到过期,中间服务器无法控制它
2、app类token的有效时间:如果APP是新闻类、游戏类、聊天类等需要长时间用户粘性的,一般可设置1年的有效时间。如果是支付类、银行类的,一般token有效时间比较短,15分钟左右

所以:一般在jwt中不要放太多敏感性的词,如果需要的话那么就要加密。其次就是设置失效时间对应的得当

二、laravel中使用jwt进行认证
jwt-auth文档:https://jwt-auth.readthedocs.io/en/develop/laravel-installation/
1、jwt的安装
composer require tymon/jwt-auth
在这里插入图片描述2、发布配置
然后执行
php artisan vendor:publish --provider=“Tymon\JWTAuth\Providers\LaravelServiceProvider”
这个指令就是把jwt的配置发布出,简单点就是在config目录下创建一个jwt的配置文件,同时也把jwt的组件服务加载到项目中,之后就可以通过在env的配置中修改
在这里插入图片描述
3、生成秘钥
然后可以再运行
php artisan jwt:secret
这个命令会在env中增加一个JWT_SECRET,同我们的APP_KEY这个secret是十分重要的,用于给Token签名,更换这个secret会导致之前生成的所有token无效,所以不要随意的替换这个secret
在这里插入图片描述
4、手动添加服务提供者信息(Laravel5.4及以下版本需要,5.5及以上版本无需手动添加)
将下面这行添加至 config/app.php 文件 providers 数组中:

#文件:config/app.php
'providers' => [
    // other code
    Tymon\JWTAuth\Providers\LaravelServiceProvider::class,
]

5、配置Auth guard,让api的driver使用jwt

#文件:config/auth.php
'guards' => [
    'api' => [
        'driver' => 'jwt',
        'provider' => 'users',
    ],
],

6、更改 User Model,让User 支持 jwt-auth,并重写getJWTIdentifier()和getJWTCustomClaims()方法

<?php
namespace App\Models;


use Illuminate\Database\Eloquent\SoftDeletes;
use Illuminate\Foundation\Auth\User as Authenticatable;
use Illuminate\Notifications\Notifiable;
use Tymon\JWTAuth\Contracts\JWTSubject;

class Users extends Authenticatable implements JWTSubject
{
    use Notifiable ;

    protected $table = 'users';

    public function getJWTCustomClaims()
    {
        // TODO: Implement getJWTCustomClaims() method.
        return [];
    }


    public function getJWTIdentifier()
    {
        // TODO: Implement getJWTIdentifier() method.
        return $this->getKey();
    }

}

7、注册两个 Facade别名
这两个 Facade 不是必须的,但是使用它们会给你的代码编写带来一点便利。
config/app.php

#
'aliases' => [
        ...
        // 添加以下两行
       'JWTAuth' => Tymon\JWTAuth\Facades\JWTAuth::class,
       'JWTFactory' => Tymon\JWTAuth\Facades\JWTFactory::class,
],

8、注册路由和创建控制器

路由:

Route::group(['namespace' => 'Api\V1'],function (){
    Route::any('users/login','UsersController@login');
});

控制器:

<?php


namespace App\Http\Controllers\Api\V1;

use App\Models\UsersModel;
use Illuminate\Http\Request;
//use Tymon\JWTAuth\Facades\JWTAuth;
use JWTAuth;
class UsersController extends BaseController
{
    /**
     * @param Request $request
     * @return \Illuminate\Http\JsonResponse
     */
    public function login(Request $request)
    {

        $data = $request->input();
        $phone = $data['phone'];
		//以手机号登录测试,具体根据自己的业务逻辑
        $user = UsersModel::where(['phone' => $phone])->first();


        if(!$user){
            $user = new UsersModel();
            $user->phone = $phone;
            $user->save();
        }


        //方式一
        $token = JWTAuth::fromUser($user);
        //方式二
//        $token = auth('api')->login($user);

        //方式三、下面这种方式必须使用密码登录
//        $token = auth('api')->attempt($user->toArray());

        if(!$token ){
            return response()->json(['error' => 'Unauthorized'],401);
        }

        return $this->respondWithToken($token,$user);


    }
    
 	protected function respondWithToken($token, $data)
    {
        return response()->json([
            'data' => $data,
            'access_token' =>'bearer '.$token,
            'token_type' => 'bearer'
        ]);
    }

}

返回结果:
在这里插入图片描述
到此用户登录生成jwt认证token完成

用户登录生成token返回前端后,每次请求都需将token随着请求头一起传递到后端,故而需要验证请求是否携带token,以及检验token是否过期,通过创建一个中间件,来对需要验证的路由进行统一验证
创建路由中间件
Middleware文加下

<?php


namespace App\Http\Middleware;

use Closure;
use Symfony\Component\HttpKernel\Exception\UnauthorizedHttpException;
use Tymon\JWTAuth\Exceptions\JWTException;
use Tymon\JWTAuth\Exceptions\TokenExpiredException;
use Tymon\JWTAuth\Http\Middleware\BaseMiddleware;
use Auth;

class RefreshToken extends BaseMiddleware
{

    /**
     * @param $request
     * @param Closure $next
     * @return \Illuminate\Http\JsonResponse|\Illuminate\Http\Response|mixed
     * @throws JWTException
     */
    public function handle($request , Closure $next)
    {
        //检查此次请求中,是否携带token,如果没有则抛出异常
        $this->checkForToken($request);

        try{
            //检测用户登录状态,如果正常,则通过
            if($this->auth->parseToken()->authenticate()){
                return $next($request);
            }

            throw new UnauthorizedHttpException('jwt-auth',json_encode(['status' => 401,'msg' => '未登录']));

        }catch (TokenExpiredException $exception){
            
            // 此处捕获到了 token 过期所抛出的 TokenExpiredException 异常,我们在这里需要做的是刷新该用户的 token 并将它添加到响应头中
            try{
                //刷新用户token,并放到头部
                $token = $this->auth->refresh();

                //使用一次性登录,保证请求成功
                Auth::guard('api')->onceUsingId($this->auth->manager()->getPayloadFactory()->buildClaimsCollection()->toPlainArray()['sub']);

            }catch (JWTException $exception){
                //如果走到这里,说明refresh也过期了,需要重新登录

                throw new UnauthorizedHttpException('jwt-auth',json_encode(['status' => 401 , 'msg' => '未登录']));
            }
        }

        //在响应头中返回新的token

        return $this->setAuthenticationHeader($next($request),$token);


    }


}

注册新增的中间件到Kernel.php文件中的$routeMiddleware数组中

'refresh.token' => \App\Http\Middleware\RefreshToken::class,

在这里插入图片描述

创建测试路由

Route::group(['namespace' => 'Api\V1','middleware'=>'refresh.token'],function(){
    //测试是否携带token
    Route::any('users/test','UsersController@test');
});

在这里插入图片描述
在这里插入图片描述
对于使用了token验证中间件的路由,在请求时未携带token或者已过期,则会提示401 Token not provided,此时需要重新登录获取新的token,并携带新的token再次请求接口

懒猫一小只
关注
  • 1
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Laravel 用户的身份认证操作(登录页)
zsysem的博客
10-22 864
借助 Laravel 提供的 Auth 的 attempt 方法可以让我们很方便的完成用户的身份认证操作,如下所 示: if (Auth::attempt(['email' => $email, 'password' => $password])) { // 该用户存在于数据库,且邮箱和密码相符合 } attempt 方法会接收一个数组来作为第一个参数,该参数提供的值将用于寻找数据库中的用户数据。 因此在上面的例子中, attempt 方法执行的代码逻辑如下: 1. 使用 email
Laravel用户Auth登录
amazingdyd的博客
11-15 3607
使用多用户登录可能遇到Argument 1 passed to Illuminate\Auth\EloquentUserProvider::validateCredentia...的错误,那么,如何实现用户登录呢? 首先,进入/config/auth.php <?php return [ /* |--------------------------------------
基于Laravel 7.x的后台权限验证API
09-07
本课程将以后台权限验证API的开发为载体,带领大家使用Laravel 7.x进行权限扩展包的开发你将学习到如下知识:1、如何使用laravel编写Restful api接口;2、如何使用composer进行项目依赖管理,laravel常用扩展的安装与使用,如dingo/api 以及repository;3、如何使用jwt进行实现后台用户认证机制;4、学习使用laravel扩展包的形式进行后台权限验证API的开发;5、如何编写Seeders帮助我们在新系统里实现数据的初始化
laravel8使用jwt
码奴一只猿
10-17 699
laravel8使用jwt
Laravel 中使用 jwt-auth 实现用户 Token 登录验证(案例实战)
最新发布
雾里看花的博客
06-04 1276
jwt-auth(JSON Web Token Authentication)是一种基于 JSON Web Token(JWT)的用户认证机制。它是一个流行的身份验证方案,通过在用户登录后生成令牌(Token),并在每次请求中传递该令牌来验证用户身份。JWT Token 的结构一般包含三部分:Header、Payload 和 Signature。Header 包含了 Token 类型和算法信息;Payload 包含了 Token 的声明和自定义的附加信息;
laravel8-使用jwt
weixin_43295023的博客
04-20 1231
laravel8-使用jwt jwt-官方网址 https://jwt-auth.readthedocs.io/en/develop/laravel-installation 安装 第一步:composer拉取最新版本 composer require tymon/jwt-auth 第二步:添加服务提供者(Laravel 5.4 或以下) 将服务提供者添加到配置文件 config/app.php 中的 providers 数组中,如下所示: 'providers' => [ ...
laravel8 使用JWT token验证
chengjianghao的博客
05-09 1078
(3)签名:由头部信息使用base64加密之后,拼接上载荷使用base64加密之后的部分,在加上当前的密钥,进行头部中的加密算法进行加密。4.加入在Kernel $routeMiddleware 中加入 Token的中间件。(1)头部:一个json字符串,包含当前令牌名称,以及加密算法。(2)载荷:一个json字符创,包含一些自定义的信息。2.封装创建Token和验证token方法。3.创建token中间件进行验证。1.安装composer包。5.路由使用token验证。
07. Laravel JWT用户登录
从器之道 从一而终
05-09 262
【代码】07. Laravel JWT用户登录
Laravel jwt 多表(多用户端)验证隔离的实现
12-20
当同一个 laravel 项目有多端(移动端、管理端……)都需要使用 jwt用户验证时,如果用户表有多个(一般都会有),就需要做 token 隔离,不然会发生移动端的 token 也能请求管理端的问题,造成用户越权。...
laravel_jwt_demo:Laravel 6.0 结合 jwt用户模型认证案例
05-06
我们将基于提供的"laravel_jwt_demo"项目进行讨论,该项目展示了如何为普通用户(User)和管理员(Admin)实现独立的 token 生成和认证机制。 首先,Laravel 是一个流行的开源 PHP 框架,以其优雅的语法和强大的...
Laravel开发-laravel-jwt-auth
08-27
为了使用 JWT 进行用户认证,我们需要创建认证控制器。Laravel 提供了 `make:auth` 命令,但默认生成的是基于 session 的认证。为了使用 JWT,你需要自定义认证控制器。创建一个新的控制器并重写相关方法以配合 JWT...
Laravel开发-laravel-jwt
08-28
总结,Laravel JWT为开发者提供了强大的、安全的身份验证机制,通过简单集成和配置,可以在Laravel项目中轻松实现API的身份验证。理解JWT的工作原理以及如何在Laravel中使用它,对于构建安全、可扩展的Web应用至关...
laravel8配合jwt
sang521jia的博客
02-28 723
执行后 会在config 下自动生成 jwt.php 文件。
laravel8使用tymon/jwt-auth登录
yangyouchang的专栏
09-11 955
10.生成demo测试用户,在app\Console目录下新增Commands的目录,并创建CreateDemoUser 类。15.新增登录拦截中间件,在app\Http\Middleware 目录下新增 ApiCheckLogin。8.打开config/auth.php文件,在providers、guards数组新增api数组。7.打开app\Models\User文件,设字段情况更改成以下代码。17.打开routes/api.php文件,添加路由。6.在.env文件新增jwt密钥。
laravel8 使用JWT验证
qq_58467694的博客
06-07 1120
jwt三部分:(1)头部:一个json字符串,包含当前令牌名称,以及加密算法。(2)载荷:一个json字符创,包含一些自定义的信息。(3)签名:由头部信息使用base64加密之后,拼接上载荷使用base64加密之后的部分,在加上当前的密钥,进行头部中的加密算法进行加密。 1、安装composer包 2、在vendor里找到安装的firebase目录下的README.md文件,查看demo示例 3、封装JWT 4、登录成功后生成token 5、生成中间件,在handel里写如下内容:....
larave8 jwt Api 过期 自定义错误返回
m0_60459392的博客
12-16 483
<?php namespace App\Exceptions; use Illuminate\Foundation\Exceptions\Handler as ExceptionHandler; use Symfony\Component\Routing\Exception\RouteNotFoundException; use Tymon\JWTAuth\Exceptions\TokenExpiredException; use Illuminate\Auth\Authentication...
Laravel 后台登录(API接口、JWT)
Memory_wz0125的博客
09-02 1873
最近做了一个前后端分离的项目,后台需要用到的是jwt获取token,用来验证用户登录。 其中小程序端也是用到了一套token,拖过后台也需要用这个的话,我们需要自己更改一下配置。 在config/auth.php中: 'defaults' => [ 'guard' => 'api', 'passwords' => 'users', ...
laravel8 实现接口鉴权封装使用JWT
code_nutter的博客
07-25 641
2.在App文件下新建Server文件夹,新建JwtServer类。4.在中间件中写入,将token放入header中传输。1.下载composer依赖包。6.在路由中使用中间件。
什么是 JWT? 如何基于 JWT 进行身份验证?
JavaMonsterr的博客
07-08 3488
JWT (JSON Web Token) 是目前最流行的跨域认证解决方案,是一种基于 Token 的认证授权机制。从 JWT 的全称可以看出,JWT 本身也是 Token,一种规范化之后的 JSON 结构的 Token。Token 自身包含了身份验证所需要的所有信息,因此,我们的服务器不需要存储 Session 信息。这显然增加了系统的可用性和伸缩性,大大减轻了服务端的压力。可以看出,JWT 更符合设计 RESTful API 时的「Stateless(无状态)」原则 。并且, 使用 Token 认证可以有
laravel jwt
08-23
1. 用户认证:当用户登录成功后,服务器会生成一个 JWT 并将其返回给客户端。客户端将在每个请求的授权头中发送该令牌。 2. 令牌验证:服务器验证客户端发送的令牌是否有效,并识别出发出该令牌的用户身份信息。 3. ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值