API Authentication

简介

默认情况下,Laravel 为 API 认证提供了一个简单的解决方案,它通过一个随机令牌分配给应用程序的每个用户。在你的 config/auth.php 配置文件中,已经定义了一个使用 token 驱动的 api 看守器。 这个驱动程序负责检查传入请求上的 API 令牌,并验证它是否匹配数据库中用户分配的令牌。

注意: 虽然 Laravel 附带了一个简单的基于令牌的身份验证保护,但我们强烈建议您考虑 Laravel Passport 来实现提供API身份验证的健壮的生产应用程序。

配置

数据库准备

在使用 token 驱动程序之前,你需要 创建一个迁移 它会在你的 users 表中添加一个 api_token 列:

  1. Schema::table('users', function ($table) {
  2.     $table->string('api_token', 80)->after('password')
  3.                         ->unique()
  4.                         ->nullable()
  5.                         ->default(null);
  6. });

迁移创建后,运行 migrate Artisan 命令。

令牌生成

api_token 列添加到你的 users 表之后,你可以将随机 API 令牌分配给应用程序中的每个用户。 在注册期间创建 User 模型时,应该分配这些令牌。 当使用 make:auth Artisan 命令提供的 认证脚手架 , 这可以在 RegisterControllercreate 方法中完成:

  1. use Illuminate\Support\Str;
  2. use Illuminate\Support\Facades\Hash;
  4. /**
  5.  * 在有效注册之后创建一个新用户实例:
  6.  *
  7.  * @param  array  $data
  8.  * @return \App\User
  9.  */
  10. protected function create(array $data)
  11. {
  12.     return User::create([
  13.         'name' => $data['name'],
  14.         'email' => $data['email'],
  15.         'password' => Hash::make($data['password']),
  16.         'api_token' => Str::random(60),
  17.     ]);
  18. }

哈希令牌

在上面的示例中,API 令牌以纯文本的形式存储在数据库中。如果你希望使用 SHA-256 散列对 API 令牌进行散列, 你可以将 api 看守器配置的hash 选项设置为 trueapi 看守器在你的 config/auth.php 配置文件中定义:

  1. 'api' => [
  2.     'driver' => 'token',
  3.     'provider' => 'users',
  4.     'hash' => true,
  5. ],

生成哈希令牌

使用哈希令牌时, 你不应该在用户注册期间生成 API 令牌。 相反, 你需要在应用程序中实现自己的 API 令牌管理页面。 这个页面应该允许用户初始化和刷新其 API 令牌。 当用户发出初始化或者刷新令牌请求时,你应该在数据中存储令牌的哈希副本,并将令牌的纯文本副本返回到视图 / 前端客户端进行一次显示。

例如,为给定用户初始化 / 刷新令牌并将纯文本令牌作为 JSON 响应返回的控制器方法可能如下所示:

  1. <?php
  3. namespace App\Http\Controllers;
  5. use Illuminate\Support\Str;
  6. use Illuminate\Http\Request;
  8. class ApiTokenController extends Controller
  9. {
  10.     /**
  11.      * 更新已经验证过的用户的 API 令牌。
  12.      *
  13.      * @param  \Illuminate\Http\Request  $request
  14.      * @return array
  15.      */
  16.     public function update(Request $request)
  17.     {
  18.         $token = Str::random(60);
  20.         $request->user()->forceFill([
  21.             'api_token' => hash('sha256', $token),
  22.         ])->save();
  24.         return ['token' => $token];
  25.     }
  26. }

Tip:因为上面例子中的 API 令牌具有足够的熵,创建一个 "rainbow tables" 来查找散列令牌的原始值是不切实际的。 因此,不需要使用 bcrypt 之类的慢散列方法:

路由保护

Laravel 包含一个 身份认证看守器 可以自动验证传入请求的 API 令牌。 你只需要在任何需要有效访问令牌的路由上指定 auth:api 中间件:

  1. use Illuminate\Http\Request;
  3. Route::middleware('auth:api')->get('/user', function(Request $request) {
  4.     return $request->user();
  5. });

请求中传递令牌

有几种方法可以将 API 令牌传递给你的应用程序。 我们将在使用 Guzzle HTTP 库演示其用法时去讨论这些方法。 你可以根据应用程序的需要选择其中的任何方法。

请求参数

你的应用程序的 API 使用者可以将其令牌作为 api_token 查询字符串值:

  1. $response = $client->request('GET', '/api/user?api_token='.$token);

请求负载

应用程序的 API 使用者可以在请求的表单参数中以 api_token 的形式包含其 API 令牌:

  1. $response = $client->request('POST', '/api/user', [
  2.     'headers' => [
  3.         'Accept' => 'application/json',
  4.     ],
  5.     'form_params' => [
  6.         'api_token' => $token,
  7.     ],
  8. ]);

Bearer 令牌

应用程序的 API 使用者可以在请求的 Authorization 头中提供其 API 令牌作为 Bearer 令牌:

  1. $response = $client->request('POST', '/api/user', [
  2.     'headers' => [
  3.         'Authorization' => 'Bearer '.$token,
  4.         'Accept' => 'application/json',
  5.     ],
  6. ]);

本文章首发在 LearnKu.com 网站上。

本文中的所有译文仅用于学习和交流目的,转载请务必注明文章译者、出处、和本文链接 我们的翻译工作遵照 CC 协议,如果我们的工作有侵犯到您的权益,请及时联系我们。