為什么要做隔離
當同一個laravel項目有多端(移動端、管理端……)都需要使用jwt做用戶驗證時,如果用戶表有多個(一般都會有),就需要做token隔離,不然會發生移動端的token也能請求管理端的問題,造成用戶越權。
會引發這個問題的原因是laravel的jwt token默認只會存儲數據表的主鍵的值,并沒有區分是那個表的。所以只要token里攜帶的ID在你的用戶表中都存在,就會導致越權驗證。
我們來看看laravel的jwt token 的原貌:
{ "iss": "http://your-request-url", "iat": 1558668215, "exp": 1645068215, "nbf": 1558668215, "jti": "XakIDuG7K0jeWGDi", "sub": 1, "prv": "92d5e8eb1b38ccd11476896c19b0e44512b2aacd" }
攜帶數據的是sub字段,其他字段是jwt的驗證字段。
我們只看到sub的值為1,并沒有說明是那個表或是哪個驗證器的。這個token通過你的驗證中間件時,你使用不同的guard就能拿到對應表id為1的用戶(了解guard請查看laravel的文檔)。
解決辦法
想要解決用戶越權的問題,我們只要在token上帶上我們的自定義字段,用來區分是哪個表或哪個驗證器生成的,然后再編寫自己的中間件驗證我們的自定義字段是否符合我們的預期。
添加自定義信息到token
我們知道要使用jwt驗證,用戶模型必須要實現JWTSubject的接口(代碼取自jwt文檔):
<?php namespace App; use TymonJWTAuthContractsJWTSubject; use IlluminateNotificationsNotifiable; use IlluminateFoundationAuthUser as Authenticatable; class User extends Authenticatable implements JWTSubject { use Notifiable; // Rest omitted for brevity /** * Get the identifier that will be stored in the subject claim of the JWT. * * @return mixed */ public function getJWTIdentifier() { return $this->getKey(); } /** * Return a key value array, containing any custom claims to be added to the JWT. * * @return array */ public function getJWTCustomClaims() { return []; } }
我們可以看看實現的這兩個方法的作用:
- getJWTIdentifier的:獲取會儲存到jwt聲明中的標識,其實就是要我們返回標識用戶表的主鍵字段名稱,這里是返回的是主鍵’id’,
- getJWTCustomClaims:返回包含要添加到jwt聲明中的自定義鍵值對數組,這里返回空數組,沒有添加任何自定義信息。
接下來我們就可以在實現了getJWTCustomClaims方法的用戶模型中添加我們的自定義信息了。
管理員模型:
/** * 額外在 JWT 載荷中增加的自定義內容 * * @return array */ public function getJWTCustomClaims() { return ['role' => 'admin']; }
移動端用戶模型:
/** * 額外在 JWT 載荷中增加的自定義內容 * * @return array */ public function getJWTCustomClaims() { return ['role' => 'user']; }
這里添加了一個角色名作為用戶標識。
這樣管理員生成的token會像這樣:
{ "iss": "http://your-request-url", "iat": 1558668215, "exp": 1645068215, "nbf": 1558668215, "jti": "XakIDuG7K0jeWGDi", "sub": 1, "prv": "92d5e8eb1b38ccd11476896c19b0e44512b2aacd", "role": "admin" }
移動端用戶生成的token會像這樣:
{ "iss": "http://your-request-url", "iat": 1558668215, "exp": 1645068215, "nbf": 1558668215, "jti": "XakIDuG7K0jeWGDi", "sub": 1, "prv": "92d5e8eb1b38ccd11476896c19b0e44512b2aacd", "role": "user" }
我們可以看到這里多了一個我們自己加的role字段,并且對應我們的用戶模型。
接下來我們自己寫一個中間件,解析token后判斷是否是我們想要的角色,對應就通過,不對應就報401就好了。
編寫jwt角色校驗中間件
這里提供一個可全局使用的中間件(推薦用在用戶驗證中間件前):
<?php /** * Created by PhpStorm. * User: wlalala * Date: 2019-04-17 * Time: 13:55 */ namespace AppHttpMiddleware; use Closure; use SymfonyComponentHttpKernelExceptionUnauthorizedHttpException; use TymonJWTAuthExceptionsJWTException; use TymonJWTAuthHttpMiddlewareBaseMiddleware; class JWTRoleAuth extends BaseMiddleware { /** * Handle an incoming request. * * @param $request * @param Closure $next * @param null $role * @return mixed */ public function handle($request, Closure $next, $role = null) { try { // 解析token角色 $token_role = $this->auth->parseToken()->getClaim('role'); } catch (JWTException $e) { /** * token解析失敗,說明請求中沒有可用的token。 * 為了可以全局使用(不需要token的請求也可通過),這里讓請求繼續。 * 因為這個中間件的責職只是校驗token里的角色。 */ return $next($request); } // 判斷token角色。 if ($token_role != $role) { throw new UnauthorizedHttpException('jwt-auth', 'User role error'); } return $next($request); } }
注冊jwt角色校驗中間件
在app/Http/Kernel.php中注冊中間件:
/** * The application's route middleware. * * These middleware may be assigned to groups or used individually. * * @var array */ protected $routeMiddleware = [ // ...省略 ... // 多表jwt驗證校驗 'jwt.role' => AppHttpMiddlewareJWTRoleAuth::class, ];
使用jwt角色校驗中間件
接下來在需要用戶驗證的路由組中添加我們的中間件:
Route::group([ 'middleware' => ['jwt.role:admin', 'jwt.auth'], ], function ($router) { // 管理員驗證路由 // ... }); Route::group([ 'middleware' => ['jwt.role:user', 'jwt.auth'], ], function ($router) { // 移動端用戶驗證路由 // ... });
至此完成jwt多表用戶驗證隔離。
更多Laravel相關技術文章,請訪問Laravel教程欄目進行學習!
