API 認證
API 認證
API Authentication
簡介
默認情況下,Laravel 為 API 認證提供了一個簡單的解決方案,它通過一個隨機令牌分配給應(yīng)用程序的每個用戶。在你的 config/auth.php
配置文件中,已經(jīng)定義了一個使用 token
驅(qū)動的 api
看守器。 這個驅(qū)動程序負責(zé)檢查傳入請求上的 API 令牌,并驗證它是否匹配數(shù)據(jù)庫中用戶分配的令牌。
注意: 雖然 Laravel 附帶了一個簡單的基于令牌的身份驗證保護,但我們強烈建議您考慮 Laravel Passport 來實現(xiàn)提供 API 身份驗證的健壯的生產(chǎn)應(yīng)用程序。
配置
數(shù)據(jù)庫準(zhǔn)備
在使用 token
驅(qū)動程序之前,你需要 創(chuàng)建一個遷移 它會在你的 users
表中添加一個 api_token
列:
Schema::table('users', function ($table) { $table->string('api_token', 80)->after('password') ->unique() ->nullable() ->default(null); });
遷移創(chuàng)建后,運行 migrate
Artisan 命令。
令牌生成
將 api_token
列添加到你的 users
表之后,你可以將隨機 API 令牌分配給應(yīng)用程序中的每個用戶。 在注冊期間創(chuàng)建 User
模型時,應(yīng)該分配這些令牌。 當(dāng)使用 make:auth
Artisan 命令提供的 認證腳手架 , 這可以在 RegisterController
的 create
方法中完成:
use Illuminate\Support\Str;use Illuminate\Support\Facades\Hash; /** * 在有效注冊之后創(chuàng)建一個新用戶實例: * * @param array $data * @return \App\User */ protected function create(array $data){ return User::create([ 'name' => $data['name'], 'email' => $data['email'], 'password' => Hash::make($data['password']), 'api_token' => Str::random(60), ]); }
哈希令牌
在上面的示例中,API 令牌以純文本的形式存儲在數(shù)據(jù)庫中。如果你希望使用 SHA-256 散列對 API 令牌進行散列, 你可以將 api
看守器配置的 hash
選項設(shè)置為 true
。 api
看守器在你的 config/auth.php
配置文件中定義:
'api' => [ 'driver' => 'token', 'provider' => 'users', 'hash' => true, ],
生成哈希令牌
使用哈希令牌時, 你不應(yīng)該在用戶注冊期間生成 API 令牌。 相反, 你需要在應(yīng)用程序中實現(xiàn)自己的 API 令牌管理頁面。 這個頁面應(yīng)該允許用戶初始化和刷新其 API 令牌。 當(dāng)用戶發(fā)出初始化或者刷新令牌請求時,你應(yīng)該在數(shù)據(jù)中存儲令牌的哈希副本,并將令牌的純文本副本返回到視圖 / 前端客戶端進行一次顯示。
例如,為給定用戶初始化 / 刷新令牌并將純文本令牌作為 JSON 響應(yīng)返回的控制器方法可能如下所示:
<?php namespace App\Http\Controllers; use Illuminate\Support\Str; use Illuminate\Http\Request; class ApiTokenController extends Controller{ /** * 更新已經(jīng)驗證過的用戶的 API 令牌。 * * @param \Illuminate\Http\Request $request * @return array */ public function update(Request $request) { $token = Str::random(60); $request->user()->forceFill([ 'api_token' => hash('sha256', $token), ])->save(); return ['token' => $token]; } }
{tip} 因為上面例子中的 API 令牌具有足夠的熵,創(chuàng)建一個 "rainbow tables" 來查找散列令牌的原始值是不切實際的。 因此,不需要使用
bcrypt
之類的慢散列方法:
路由保護
Laravel 包含一個 身份認證看守器 可以自動驗證傳入請求的 API 令牌。 你只需要在任何需要有效訪問令牌的路由上指定 auth:api
中間件:
use Illuminate\Http\Request; Route::middleware('auth:api')->get('/user', function(Request $request) { return $request->user(); });
請求中傳遞令牌
有幾種方法可以將 API 令牌傳遞給你的應(yīng)用程序。 我們將在使用 Guzzle HTTP 庫演示其用法時去討論這些方法。 你可以根據(jù)應(yīng)用程序的需要選擇其中的任何方法。
請求參數(shù)
你的應(yīng)用程序的 API 使用者可以將其令牌作為 api_token
查詢字符串值:
$response = $client->request('GET', '/api/user?api_token='.$token);
請求負載
應(yīng)用程序的 API 使用者可以在請求的表單參數(shù)中以 api_token
的形式包含其 API 令牌:
$response = $client->request('POST', '/api/user', [ 'headers' => [ 'Accept' => 'application/json', ], 'form_params' => [ 'api_token' => $token, ], ]);
Bearer 令牌
應(yīng)用程序的 API 使用者可以在請求的 Authorization
頭中提供其 API 令牌作為 Bearer
令牌:
$response = $client->request('POST', '/api/user', [ 'headers' => [ 'Authorization' => 'Bearer '.$token, 'Accept' => 'application/json', ], ]);