laravel jwt实现用户认证登录

最新推荐文章于 2024-06-04 18:00:57 发布
最新推荐文章于 2024-06-04 18:00:57 发布
阅读量2.1k 收藏 13
点赞数 1
分类专栏: jwt laravel PHP 文章标签: laravel php jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45310179/article/details/120989859
版权
PHP 同时被 3 个专栏收录
14 篇文章 0 订阅
订阅专栏
laravel
9 篇文章 0 订阅
订阅专栏
jwt
1 篇文章 0 订阅
订阅专栏

一、什么是jwt,怎么运行的
1、jwt == Json Web Tokens
2、传统认证与jwt认证的区别与优势:
传统的方式:
主要是将认证后的用户信息储存在服务器上,比如Session。用户下次请求的时候带上Session Id,然后服务器以此查询用户是否认证过
在这里插入图片描述
传统认证方式的问题:
(1)、每次用户认证通过后,服务器需要创建一天记录保存用户信息,通常是在内存中,随着认证通过的用户越来越多,服务器在这里的开销就越来越大
(2)、session是在内存中,容易带来一些扩展性的问题
(3)、当我们想要扩展应用,需要多个服务器提供服务时,需要考虑session共享问题,不然可能会导致用户多次登录
(4)、用户容易收到csrf攻击,且要考虑客户端禁用cookie的问题

jwt认证方式
工作流程
在这里插入图片描述
1.用户携带用户名和密码登入;
2.服务器校验用户信息
3.然后服务器提供一个token给客户端(jwt)
4.客户端会存储token,并且在随后的每一次请求中都带着它
5.服务器校验token,并获取信息。

注意的点:
1.每一次请求都需要token
2.token应该放在请求header中
3.我们还需要将服务器设置为接受来自所有域的请求,用Access-Control-Allow-Origin:*

JWT组成结构;头部、负载、签名
jwt =》这是一个字符串在字符串中通过 . 进行分割; 分为了三个部分;
第一部分;header
第二部分:payload
第三部分:signature

使用jwt的好处
1、无状态和可扩展性:token存储在客户端,完全无状态,可扩展。负载均衡器可以将用户传递到任意服务器,因为在任何地方都没有状态或回话信息
2、安全性:token不是cookie,每次请求token都会被发送,由于没有cookie,有助于防止csrf攻击
3、token在一段时间后会过期,这个时候需要重新登录,有助于保持安全,还有一个概念叫token撤销,它允许我们根据相同的授权许可使特定的token甚至一组token无效

jwt的问题
1、token失效问题:比如在浏览器端通过用户名、密码验证获得签名的token被木马窃取,即使用户登出系统,黑客还是可以利用窃取的token模拟正常请求,可用它访问服务器,而服务器端对此完全不知道,因为jwt机制是无状态的,直到过期,中间服务器无法控制它
2、app类token的有效时间:如果APP是新闻类、游戏类、聊天类等需要长时间用户粘性的,一般可设置1年的有效时间。如果是支付类、银行类的,一般token有效时间比较短,15分钟左右

所以:一般在jwt中不要放太多敏感性的词,如果需要的话那么就要加密。其次就是设置失效时间对应的得当

二、laravel中使用jwt进行认证
jwt-auth文档:https://jwt-auth.readthedocs.io/en/develop/laravel-installation/
1、jwt的安装
composer require tymon/jwt-auth
在这里插入图片描述2、发布配置
然后执行
php artisan vendor:publish --provider=“Tymon\JWTAuth\Providers\LaravelServiceProvider”
这个指令就是把jwt的配置发布出,简单点就是在config目录下创建一个jwt的配置文件,同时也把jwt的组件服务加载到项目中,之后就可以通过在env的配置中修改
在这里插入图片描述
3、生成秘钥
然后可以再运行
php artisan jwt:secret
这个命令会在env中增加一个JWT_SECRET,同我们的APP_KEY这个secret是十分重要的,用于给Token签名,更换这个secret会导致之前生成的所有token无效,所以不要随意的替换这个secret
在这里插入图片描述
4、手动添加服务提供者信息(Laravel5.4及以下版本需要,5.5及以上版本无需手动添加)
将下面这行添加至 config/app.php 文件 providers 数组中:

#文件:config/app.php
'providers' => [
    // other code
    Tymon\JWTAuth\Providers\LaravelServiceProvider::class,
]

5、配置Auth guard,让api的driver使用jwt

#文件:config/auth.php
'guards' => [
    'api' => [
        'driver' => 'jwt',
        'provider' => 'users',
    ],
],

6、更改 User Model,让User 支持 jwt-auth,并重写getJWTIdentifier()和getJWTCustomClaims()方法

<?php
namespace App\Models;


use Illuminate\Database\Eloquent\SoftDeletes;
use Illuminate\Foundation\Auth\User as Authenticatable;
use Illuminate\Notifications\Notifiable;
use Tymon\JWTAuth\Contracts\JWTSubject;

class Users extends Authenticatable implements JWTSubject
{
    use Notifiable ;

    protected $table = 'users';

    public function getJWTCustomClaims()
    {
        // TODO: Implement getJWTCustomClaims() method.
        return [];
    }


    public function getJWTIdentifier()
    {
        // TODO: Implement getJWTIdentifier() method.
        return $this->getKey();
    }

}

7、注册两个 Facade别名
这两个 Facade 不是必须的,但是使用它们会给你的代码编写带来一点便利。
config/app.php

#
'aliases' => [
        ...
        // 添加以下两行
       'JWTAuth' => Tymon\JWTAuth\Facades\JWTAuth::class,
       'JWTFactory' => Tymon\JWTAuth\Facades\JWTFactory::class,
],

8、注册路由和创建控制器

路由:

Route::group(['namespace' => 'Api\V1'],function (){
    Route::any('users/login','UsersController@login');
});

控制器:

<?php


namespace App\Http\Controllers\Api\V1;

use App\Models\UsersModel;
use Illuminate\Http\Request;
//use Tymon\JWTAuth\Facades\JWTAuth;
use JWTAuth;
class UsersController extends BaseController
{
    /**
     * @param Request $request
     * @return \Illuminate\Http\JsonResponse
     */
    public function login(Request $request)
    {

        $data = $request->input();
        $phone = $data['phone'];
		//以手机号登录测试,具体根据自己的业务逻辑
        $user = UsersModel::where(['phone' => $phone])->first();


        if(!$user){
            $user = new UsersModel();
            $user->phone = $phone;
            $user->save();
        }


        //方式一
        $token = JWTAuth::fromUser($user);
        //方式二
//        $token = auth('api')->login($user);

        //方式三、下面这种方式必须使用密码登录
//        $token = auth('api')->attempt($user->toArray());

        if(!$token ){
            return response()->json(['error' => 'Unauthorized'],401);
        }

        return $this->respondWithToken($token,$user);


    }
    
 	protected function respondWithToken($token, $data)
    {
        return response()->json([
            'data' => $data,
            'access_token' =>'bearer '.$token,
            'token_type' => 'bearer'
        ]);
    }

}

返回结果:
在这里插入图片描述
到此用户登录生成jwt认证token完成

用户登录生成token返回前端后,每次请求都需将token随着请求头一起传递到后端,故而需要验证请求是否携带token,以及检验token是否过期,通过创建一个中间件,来对需要验证的路由进行统一验证
创建路由中间件
Middleware文加下

<?php


namespace App\Http\Middleware;

use Closure;
use Symfony\Component\HttpKernel\Exception\UnauthorizedHttpException;
use Tymon\JWTAuth\Exceptions\JWTException;
use Tymon\JWTAuth\Exceptions\TokenExpiredException;
use Tymon\JWTAuth\Http\Middleware\BaseMiddleware;
use Auth;

class RefreshToken extends BaseMiddleware
{

    /**
     * @param $request
     * @param Closure $next
     * @return \Illuminate\Http\JsonResponse|\Illuminate\Http\Response|mixed
     * @throws JWTException
     */
    public function handle($request , Closure $next)
    {
        //检查此次请求中,是否携带token,如果没有则抛出异常
        $this->checkForToken($request);

        try{
            //检测用户登录状态,如果正常,则通过
            if($this->auth->parseToken()->authenticate()){
                return $next($request);
            }

            throw new UnauthorizedHttpException('jwt-auth',json_encode(['status' => 401,'msg' => '未登录']));

        }catch (TokenExpiredException $exception){
            
            // 此处捕获到了 token 过期所抛出的 TokenExpiredException 异常,我们在这里需要做的是刷新该用户的 token 并将它添加到响应头中
            try{
                //刷新用户token,并放到头部
                $token = $this->auth->refresh();

                //使用一次性登录,保证请求成功
                Auth::guard('api')->onceUsingId($this->auth->manager()->getPayloadFactory()->buildClaimsCollection()->toPlainArray()['sub']);

            }catch (JWTException $exception){
                //如果走到这里,说明refresh也过期了,需要重新登录

                throw new UnauthorizedHttpException('jwt-auth',json_encode(['status' => 401 , 'msg' => '未登录']));
            }
        }

        //在响应头中返回新的token

        return $this->setAuthenticationHeader($next($request),$token);


    }


}

注册新增的中间件到Kernel.php文件中的$routeMiddleware数组中

'refresh.token' => \App\Http\Middleware\RefreshToken::class,

在这里插入图片描述

创建测试路由

Route::group(['namespace' => 'Api\V1','middleware'=>'refresh.token'],function(){
    //测试是否携带token
    Route::any('users/test','UsersController@test');
});

在这里插入图片描述
在这里插入图片描述
对于使用了token验证中间件的路由,在请求时未携带token或者已过期,则会提示401 Token not provided,此时需要重新登录获取新的token,并携带新的token再次请求接口

懒猫一小只
关注
  • 1
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
什么是 JWT? 如何基于 JWT 进行身份验证?
JavaMonsterr的博客
07-08 3475
JWT (JSON Web Token) 是目前最流行的跨域认证解决方案,是一种基于 Token 的认证授权机制。从 JWT 的全称可以看出,JWT 本身也是 Token,一种规范化之后的 JSON 结构的 Token。Token 自身包含了身份验证所需要的所有信息,因此,我们的服务器不需要存储 Session 信息。这显然增加了系统的可用性和伸缩性,大大减轻了服务端的压力。可以看出,JWT 更符合设计 RESTful API 时的「Stateless(无状态)」原则 。并且, 使用 Token 认证可以有
laravel框架jwt接口设置
2301_76630045的博客
04-19 312
2、app中创建目录service,service中创建JWT.php文件,文件中生成构造方法。8、生成JwtController控制器,编写login与getjwt方法。7、创建JwtModel模型。9、根据路由查询token。6、创建mysql表。
laravel8使用jwt
码奴一只猿
10-17 698
laravel8使用jwt
laravel8 使用JWT token验证
chengjianghao的博客
05-09 1071
(3)签名:由头部信息使用base64加密之后,拼接上载荷使用base64加密之后的部分,在加上当前的密钥,进行头部中的加密算法进行加密。4.加入在Kernel $routeMiddleware 中加入 Token的中间件。(1)头部:一个json字符串,包含当前令牌名称,以及加密算法。(2)载荷:一个json字符创,包含一些自定义的信息。2.封装创建Token和验证token方法。3.创建token中间件进行验证。1.安装composer包。5.路由使用token验证。
Laravel 中使用 jwt-auth 实现用户 Token 登录验证(案例实战)
最新发布
雾里看花的博客
06-04 1201
jwt-auth(JSON Web Token Authentication)是一种基于 JSON Web Token(JWT)的用户认证机制。它是一个流行的身份验证方案,通过在用户登录后生成令牌(Token),并在每次请求中传递该令牌来验证用户身份。JWT Token 的结构一般包含三部分:Header、Payload 和 Signature。Header 包含了 Token 类型和算法信息;Payload 包含了 Token 的声明和自定义的附加信息;
laravel8使用tymon/jwt-auth登录
yangyouchang的专栏
09-11 947
10.生成demo测试用户,在app\Console目录下新增Commands的目录,并创建CreateDemoUser 类。15.新增登录拦截中间件,在app\Http\Middleware 目录下新增 ApiCheckLogin。8.打开config/auth.php文件,在providers、guards数组新增api数组。7.打开app\Models\User文件,设字段情况更改成以下代码。17.打开routes/api.php文件,添加路由。6.在.env文件新增jwt密钥。
Laravel jwt 多表(多用户端)验证隔离的实现
12-20
当同一个 laravel 项目有多端(移动端、管理端……)都需要使用 jwt用户验证时,如果用户表有多个(一般都会有),就需要做 token 隔离,不然会发生移动端的 token 也能请求管理端的问题,造成用户越权。...
laravel_jwt_demo:Laravel 6.0 结合 jwt用户模型认证案例
05-06
我们将基于提供的"laravel_jwt_demo"项目进行讨论,该项目展示了如何为普通用户(User)和管理员(Admin)实现独立的 token 生成和认证机制。 首先,Laravel 是一个流行的开源 PHP 框架,以其优雅的语法和强大的...
Laravel开发-laravel-jwt-auth
08-27
为了使用 JWT 进行用户认证,我们需要创建认证控制器。Laravel 提供了 `make:auth` 命令,但默认生成的是基于 session 的认证。为了使用 JWT,你需要自定义认证控制器。创建一个新的控制器并重写相关方法以配合 JWT...
Laravel开发-laravel-jwt
08-28
总结,Laravel JWT为开发者提供了强大的、安全的身份验证机制,通过简单集成和配置,可以在Laravel项目中轻松实现API的身份验证。理解JWT的工作原理以及如何在Laravel中使用它,对于构建安全、可扩展的Web应用至关...
jwt获取token_Laravel 安装 jwt 及基本使用
firstcode666的博客
03-09 1511
什么是jwt? JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且独立的方式,用于在各方之间作为JSON对象安全地传输信息。此信息可以通过数字签名进行验证和信任。JWT可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。 jwt简介链接 JWT.IO - JSON Web Tokens Introduction 我们在做api请求的时候,通常要使用token,来验证是否这个请求能不能访问。 一旦用户登录,后续每个请求都将包含JWT
关于laraveljwt认证教程我猜这才是新手最想看到的
极致孤独的博客
07-20 650
重新创建laravel这里选择laravel6版本,至于为什么不用最新版的7,原因也很简单laravel6是LTS(长期支持)版本。 1、composer安装laravel6 composer create-project --prefer-dist laravel/laravel blog "6.*" 安装好之后记得把env文件中的数据库信息配置好再说。 2、安装jwt-auth扩展包 composer require tymon/jwt-auth:dev-develop --prefer-source
Laravel 集成 JWT 认证
qq_36663951的博客
01-13 1057
安装 执行以下命令安装最新稳定版本: composer require tymon/jwt-auth 或者添加如下信息到你的 composer.json 文件中 并执行 composer update: "tymon/jwt-auth": "0.5.*" 然后注册服务提供者到 Laravel config/app.php 中的 providers 数组: Tymon\JWTAuth
Laravel 单点登录
MrWangisgoodboy的博客
06-11 688
Laravel 单点登录
laravel8 jwt接口安全
weixin_54356942的博客
11-13 2605
首先,下载jwt的扩展 composer require lcobucci/jwt 3.3 一: 创建封装生成token的类 php artisan make:controller Api/TokenController 二 : 生成token 需要调用 use Lcobucci\JWT\Builder; use Lcobucci\JWT\Signer\Hmac\Sha256; use Lcobucci\JWT\Parser; use Lcobucci\JWT\ValidationData;
php使用laravel框架登录使用jwt-token(一)
LiYi
12-04 1873
laravel使用jwt-token安装 首先是查看我们自己使用的laravel框架版本 这个还是最简单的,我们进入到laravel框架里,就是和app | public 目录的同级目录,使用artisan命令 php artisan -V 就可以看到我们的laraveel版本了 laravel里有很多快捷命令,使用 php artisan list 就可以查看 比如我使用的是larave...
Laravel 使用 JWT 完成多用户认证
科比龙篮的博客
08-29 1万+
JWT ------ json web Token 作用: 1.降低耦合性,适用于前后端分离,分布式架构,取代传统的session 2.较少服务器和数据库的压力 JWT的结构 JWT包含了使用.分隔的三部分: Header 头部 Payload 负载 Signature 签名 结构为 Header.Payload.Signature Header 在header中通常包含了两部分:t...
API接口JWT方式的Token认证(上),服务器(Laravel)的实现
热门推荐
钟晨宇的博客
05-03 3万+
简介最近在开发一个 Android 程序,需要做用户登录认证功能,另外服务器用的是 Laravel 框架搭建的。最终决定用 JWT 实现API接口的认证JWT 是 Json Web Tokens 的缩写,与传统 Web 的 Cookies 或者 Session 方式的认证不同的是,JWT 是无状态的,服务器上不需要对 token 进行存储,也不需要和客户端保持连接。而 JWT 的 token 分
laravel使用jwt-token(五)
LiYi
12-08 1753
laravel使用jwt-token(五) 首先在config/app.php文件的数组'aliases' =&amp;amp;gt; []里添加两个类,这个就是在Facads容器里注册两个类 它们分别是: [ 'JWTAuth' =&amp;amp;gt; Tymon\JWTAuth\Facades\JWTAuth::class, 'JWTFactory' =&amp;amp;gt; Tymon\JWTAuth\Facades...
laravel jwt redis token 限制一个用户登录
06-13
Laravel 中,使用 JWT 和 Redis 存储用户登录 token,可以很方便地实现限制一个用户登录。以下是实现步骤: 1. 安装 JWT 和 Redis 扩展。 2. 创建一个中间件,用于检查用户是否已经登录,如果已经登录,则禁止用户登录。可以使用如下代码: ```php namespace App\Http\Middleware; use Closure; use Illuminate\Auth\AuthenticationException; use Tymon\JWTAuth\Facades\JWTAuth; use Illuminate\Support\Facades\Redis; class EnsureSingleUserLogin { public function handle($request, Closure $next) { $user = JWTAuth::parseToken()->authenticate(); if ($user) { $key = "user:{$user->id}:token"; $token = Redis::get($key); if ($token !== $request->bearerToken()) { throw new AuthenticationException('已在其他设备登录'); } } return $next($request); } } ``` 3. 在路由中使用中间件来检查用户是否已经登录,如果已经登录,则禁止用户登录。可以使用如下代码: ```php Route::middleware(['jwt.auth', 'single.user.login'])->group(function () { // ... }); ``` 通过以上步骤,就可以使用 JWT 和 Redis 存储用户登录 token,以实现限制一个用户登录

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值