一文介紹Laravel中Token的實現機制

laravel是一個使用php編程語言開發的web應用框架,它的卓越表現得益于其內部集成大量功能強大的擴展包。其中就包括了Token的底層實現。token,即令牌,是web應用程序常用的一種身份驗證方式,通常用于保護api和web服務免受非法訪問。在這篇文章中,我們將介紹laravel中token的實現機制。

一、令牌的概念

Token,顧名思義,就是指一種令牌,是一種標記,可以代表某種身份信息或者授權信息。它通常由服務器產生并發放給客戶端,客戶端收到令牌后將其存放在本地,在后續請求時加入請求頭或者請求參數中,作為身份驗證或授權的標識。服務器通過檢查令牌是否有效,就可以確定請求是否具有身份驗證或者授權信息。

令牌的使用能夠更有效地保護Web應用免受未經授權的訪問,尤其是在API和Web服務中,令牌是必不可少的。

二、 Laravel Token的實現

Laravel作為一款優秀的Web應用框架,在其內置的Auth功能中提供了Token的支持。在Laravel中,Token的實現使用了Laravel Sanctum這個擴展包。

2.1 Laravel Sanctum

Laravel Sanctum是一款輕量級的身份驗證包,可以為Laravel應用程序提供API身份驗證,基于API秘鑰或者Token,讓應用程序更好的運行在無狀態環境中,如SPA應用程序、單頁應用程序和移動應用程序等。Laravel Sanctum提供了以下功能:

  1. 無需配置即可開始使用;
  2. 支持使用Session、Token以及API秘鑰等多種身份驗證方式;
  3. 內置了多種身份驗證的實現,如Cookie、Token、auth等;
  4. 提供了方便的身份驗證和Token生成;
  5. 更好的自定義身份驗證流程。

2.2 Token的實現原理

在Laravel Sanctum中,Token的實現原理與session實現原理類似。在請求中,客戶端向服務器發出請求時,將Token作為請求參數或Header中的Authorization字段發送給服務器。服務器在檢查Token是否有效,并在有效期內,給予請求操作的權限或者返回錯誤信息。Token的實現流程如下:

  1. 創建Token:當用戶登錄時,Sanctum將為該用戶生成一個隨機的Token,并將該Token保存在后臺數據庫中;
  2. 發送Token:將Token作為請求參數或者Header中的Authorization字段發送給服務器;
  3. Token驗證:在服務器端,Sanctum將檢查接收到的Token是否有效,并決定授權或拒絕;
  4. Tokens管理:Sanctum提供了一系列API來創建、撤銷、查找和驗證Token。

三、 Laravel Token的使用

Sanctum提供了方便易用的API來使用Token,包括Token的創建、撤銷、查找和驗證等。下面是Token的使用方式:

3.1 安裝 Sanctum

在應用程序中,首先需要將Sanctum的依賴包引入到應用的composer.json文件:

composer require laravel/sanctum

安裝完成后,需要在config/app.php文件中添加如下配置:

'providers' => [      // Other service providers...      LaravelSanctumSanctumServiceProvider::class,  ],

3.2 發布配置

在安裝完成后,需要運行以下命令來發布Sanctum的配置文件:

php artisan vendor:publish --provider="LaravelSanctumSanctumServiceProvider"

3.3 配置Middleware

在使用Sanctum時,需要在對應的路由中添加中間件。在Laravel中,已經內置了API認證的中間件,可以直接調用。

3.4 創建Token

在登錄后,可以使用如下代碼來為當前用戶創建Token:

use IlluminatehttpRequest;  use IlluminateSupportFacadesHash;  use IlluminateValidationValidationException;  use AppModelsUser;  use IlluminateSupportFacadesAuth;  use IlluminateSupportFacadesRoute;   // 創建Token  Route::post('/api/token/create', function (Request $request) {      $request->validate([          'email' => 'required|email',          'password' => 'required',      ]);       $user = User::where('email', $request->email)->first();       if (! $user || ! Hash::check($request->password, $user->password)) {          throw ValidationException::withMessages([              'email' => ['The provided credentials are incorrect.'],          ]);      }       return $user->createToken($request->header('User-Agent'))->plainTextToken;  });

在上面的代碼中,可以看到在創建Token時,使用機器的User-Agent作為額外的參數。這里的User-Agent是一個HTTP頭,記錄了瀏覽器或應用程序的相關信息。這個信息將作為Token的一部分,使得Token一旦被盜用或者惡意使用,可以很容易地發現和撤銷。

3.5 撤銷Token

創建的Token一旦被盜用或者失效,可以使用如下代碼撤銷:

Auth::user()->tokens()->delete();

3.6 驗證擴展

Sanctum還提供了良好的驗證擴展,可以方便地進行訪問控制,代碼如下:

use IlluminateHttpRequest;  use IlluminateSupportFacadesHash;  use IlluminateValidationValidationException;  use AppModelsUser;  use IlluminateSupportFacadesAuth;  use IlluminateSupportFacadesRoute;  use LaravelSanctumHasApiTokens;  class User extends Authenticatable  {     use HasApiTokens, Notifiable; }

使用上述代碼之后,我們就可以在User模型中使用can接口來進行訪問控制,代碼如下:

$request->user()->can('update', $post);

在上面的代碼中,can將根據當前用戶的角色、權限和策略,判斷用戶是否有權進行更新操作。需要注意的是,用戶需要正確實現自己的訪問控制邏輯。

四、 總結

在本文中,我們介紹了Laravel中Token的底層實現機制,尤其是使用Sanctum擴展包的方式。Sanctum提供了方便易用的API,能夠快速集成到應用程序中,并提高應用程序的安全性。Token的使用方式、創建、撤銷和管理,以及訪問控制等方面均進行了詳細的講解。

在今天的互聯網世界中,隨著API和Web服務的廣泛應用,Token作為一種身份驗證方式,將在很多應用程序中得到更加廣泛的應用。Laravel框架提供了良好的Token實現機制,可以更好地保護Web應用免受非法訪問。

? 版權聲明
THE END
喜歡就支持一下吧
點贊10 分享