Laravel是一個(gè)使用PHP程式語(yǔ)言開(kāi)發(fā)的網(wǎng)路應(yīng)用框架，它的卓越表現(xiàn)得益於其內(nèi)部整合大量功能強(qiáng)大的擴(kuò)充包。其中就包括了Token的底層實(shí)作。 Token，即令牌，是Web應(yīng)用程式常用的一種身份驗(yàn)證方式，通常用於保護(hù)API和Web服務(wù)免受非法存取。在這篇文章中，我們將介紹Laravel中Token的實(shí)作機(jī)制。

一、令牌的概念

Token，顧名思義，就是指一種令牌，是一種標(biāo)記，可以代表某種身分資訊或授權(quán)資訊。它通常由伺服器產(chǎn)生並發(fā)放給客戶端，客戶端收到令牌後將其存放在本地，在後續(xù)請(qǐng)求時(shí)加入請(qǐng)求頭或請(qǐng)求參數(shù)中，作為身份驗(yàn)證或授權(quán)的標(biāo)識(shí)。伺服器透過(guò)檢查令牌是否有效，就可以確定請(qǐng)求是否具有身份驗(yàn)證或授權(quán)資訊。

令牌的使用能夠更有效地保護(hù)網(wǎng)路應(yīng)用程式免受未經(jīng)授權(quán)的訪問(wèn)，尤其是在API和Web服務(wù)中，令牌是必不可少的。

二、 Laravel Token的實(shí)作

Laravel作為一款優(yōu)秀的Web應(yīng)用框架，在其內(nèi)建的Auth功能中提供了Token的支援。在Laravel中，Token的實(shí)作使用了Laravel Sanctum這個(gè)擴(kuò)充包。

2.1 Laravel Sanctum

Laravel Sanctum是一款輕量級(jí)的身份驗(yàn)證包，可以為L(zhǎng)aravel應(yīng)用程式提供API身份驗(yàn)證，基於API秘鑰或Token，讓?xiě)?yīng)用程式更好的運(yùn)行在無(wú)狀態(tài)環(huán)境中，如SPA應(yīng)用程式、單頁(yè)應(yīng)用程式和行動(dòng)應(yīng)用程式等。 Laravel Sanctum提供了以下功能：

1. 無(wú)需配置即可開(kāi)始使用；
2. #支援使用session、Token以及API秘鑰等多種驗(yàn)證方式；
3. 內(nèi)建了多種身份驗(yàn)證的實(shí)現(xiàn)，如cookie、Token、auth等；
4. 提供了方便的身份驗(yàn)證和Token生成；
5. 更好的自訂身份驗(yàn)證流程。

2.2 Token的實(shí)作原理

在Laravel Sanctum中，Token的實(shí)作原理與session實(shí)作原理類(lèi)似。在請(qǐng)求中，客戶端向伺服器發(fā)出請(qǐng)求時(shí)，將Token作為請(qǐng)求參數(shù)或Header中的Authorization欄位傳送給伺服器。伺服器在檢查T(mén)oken是否有效，並在有效期內(nèi)，給予請(qǐng)求操作的權(quán)限或傳回錯(cuò)誤訊息。 Token的實(shí)作流程如下：

1. 建立Token：當(dāng)使用者登入時(shí)，Sanctum將為該使用者產(chǎn)生一個(gè)隨機(jī)的Token，並將該Token保存在後臺(tái)資料庫(kù)中；
2. 傳送Token：將Token作為請(qǐng)求參數(shù)或Header中的Authorization欄位傳送給伺服器；
3. Token驗(yàn)證：在伺服器端，Sanctum會(huì)檢查接收到的Token是否有效，並決定授權(quán)或拒絕；
4. Tokens管理：Sanctum提供了一系列API來(lái)建立、撤銷(xiāo)、尋找和驗(yàn)證Token。

三、 Laravel Token的使用

Sanctum提供了方便易用的API來(lái)使用Token，包括Token的建立、撤銷(xiāo)、尋找和驗(yàn)證等。以下是Token的使用方式：

3.1 安裝Sanctum

在應(yīng)用程式中，首先需要將Sanctum的依賴套件引入到應(yīng)用程式的composer.json檔案：

composer?require?laravel/sanctum

安裝完成後，需要在config/app.php檔案中加入以下設(shè)定：

'providers'?=>?[?
????//?Other?service?providers...?
????Laravel\Sanctum\SanctumServiceProvider::class,?
],

3.2 發(fā)布設(shè)定

在安裝完成後，需要執(zhí)行下列指令來(lái)發(fā)布Sanctum的設(shè)定檔：

php?artisan?vendor:publish?--provider="Laravel\Sanctum\SanctumServiceProvider"

3.3 設(shè)定Middleware

在使用Sanctum時(shí)，需要在對(duì)應(yīng)的路由中新增中間件。在Laravel中，已經(jīng)內(nèi)建了API認(rèn)證的中間件，可以直接呼叫。

3.4 建立Token

在登入後，可以使用以下程式碼來(lái)為目前使用者建立Token：

use?Illuminate\Http\Request;?
use?Illuminate\Support\Facades\Hash;?
use?Illuminate\Validation\ValidationException;?
use?App\Models\User;?
use?Illuminate\Support\Facades\Auth;?
use?Illuminate\Support\Facades\Route;?

//?創(chuàng)建Token?
Route::post('/api/token/create',?function?(Request?$request)?{?
????$request->validate([?
????????'email'?=>?'required|email',?
????????'password'?=>?'required',?
????]);?

????$user?=?User::where('email',?$request->email)->first();?

????if?(!?$user?||?!?Hash::check($request->password,?$user->password))?{?
????????throw?ValidationException::withMessages([?
????????????'email'?=>?['The?provided?credentials?are?incorrect.'],?
????????]);?
????}?

????return?$user->createToken($request->header('User-Agent'))->plainTextToken;?
});

在上面的程式碼中，可以看到在建立Token時(shí)，使用機(jī)器的User-Agent作為額外的參數(shù)。這裡的User-Agent是一個(gè)HTTP頭，記錄了瀏覽器或應(yīng)用程式的相關(guān)資訊。這個(gè)資訊將作為T(mén)oken的一部分，使得Token一旦被盜用或惡意使用，可以輕鬆發(fā)現(xiàn)和撤銷(xiāo)。

3.5 撤銷(xiāo)Token

創(chuàng)建的Token一旦被盜用或失效，可以使用以下程式碼撤銷(xiāo)：

Auth::user()->tokens()->delete();

3.6 驗(yàn)證擴(kuò)充功能

#Sanctum也提供了良好的驗(yàn)證擴(kuò)展，可以方便地進(jìn)行存取控制，程式碼如下：

use?Illuminate\Http\Request;?
use?Illuminate\Support\Facades\Hash;?
use?Illuminate\Validation\ValidationException;?
use?App\Models\User;?
use?Illuminate\Support\Facades\Auth;?
use?Illuminate\Support\Facades\Route;?
use?Laravel\Sanctum\HasApiTokens;

class?User?extends?Authenticatable?
{
????use?HasApiTokens,?Notifiable;
}

使用上述程式碼之後，我們就可以在User模型中使用can介面來(lái)進(jìn)行存取控制，程式碼如下：

$request->user()->can('update',?$post);

在上面的程式碼中，can將根據(jù)目前使用者的角色、權(quán)限和策略，判斷使用者是否有權(quán)進(jìn)行更新操作。需要注意的是，使用者需要正確實(shí)作自己的存取控制邏輯。

四、總結(jié)

在本文中，我們介紹了Laravel中Token的底層實(shí)作機(jī)制，尤其是使用Sanctum擴(kuò)充包的方式。 Sanctum提供了方便易用的API，能夠快速整合到應(yīng)用程式中，並提高應(yīng)用程式的安全性。 Token的使用方式、建立、撤銷(xiāo)與管理，以及存取控制等面向均進(jìn)行了詳細(xì)的解說(shuō)。

在今天的網(wǎng)路世界中，隨著API和Web服務(wù)的廣泛應(yīng)用，Token作為一種身份驗(yàn)證方式，將在許多應(yīng)用程式中得到更加廣泛的應(yīng)用。 Laravel框架提供了良好的Token實(shí)作機(jī)制，可以更好地保護(hù)Web應(yīng)用程式免受非法存取。

以上是一文介紹Laravel中Token的實(shí)作機(jī)制的詳細(xì)內(nèi)容。更多資訊請(qǐng)關(guān)注PHP中文網(wǎng)其他相關(guān)文章！