Laravel是一個(gè)使用PHP編程語言開發(fā)的Web應(yīng)用框架，它的卓越表現(xiàn)得益于其內(nèi)部集成大量功能強(qiáng)大的擴(kuò)展包。其中就包括了Token的底層實(shí)現(xiàn)。Token，即令牌，是Web應(yīng)用程序常用的一種身份驗(yàn)證方式，通常用于保護(hù)API和Web服務(wù)免受非法訪問。在這篇文章中，我們將介紹Laravel中Token的實(shí)現(xiàn)機(jī)制。

一、令牌的概念

Token，顧名思義，就是指一種令牌，是一種標(biāo)記，可以代表某種身份信息或者授權(quán)信息。它通常由服務(wù)器產(chǎn)生并發(fā)放給客戶端，客戶端收到令牌后將其存放在本地，在后續(xù)請求時(shí)加入請求頭或者請求參數(shù)中，作為身份驗(yàn)證或授權(quán)的標(biāo)識。服務(wù)器通過檢查令牌是否有效，就可以確定請求是否具有身份驗(yàn)證或者授權(quán)信息。

令牌的使用能夠更有效地保護(hù)Web應(yīng)用免受未經(jīng)授權(quán)的訪問，尤其是在API和Web服務(wù)中，令牌是必不可少的。

二、 Laravel Token的實(shí)現(xiàn)

Laravel作為一款優(yōu)秀的Web應(yīng)用框架，在其內(nèi)置的Auth功能中提供了Token的支持。在Laravel中，Token的實(shí)現(xiàn)使用了Laravel Sanctum這個(gè)擴(kuò)展包。

2.1 Laravel Sanctum

Laravel Sanctum是一款輕量級的身份驗(yàn)證包，可以為Laravel應(yīng)用程序提供API身份驗(yàn)證，基于API秘鑰或者Token，讓應(yīng)用程序更好的運(yùn)行在無狀態(tài)環(huán)境中，如SPA應(yīng)用程序、單頁應(yīng)用程序和移動(dòng)應(yīng)用程序等。Laravel Sanctum提供了以下功能：

1. 無需配置即可開始使用；
2. 支持使用session、Token以及API秘鑰等多種身份驗(yàn)證方式；
3. 內(nèi)置了多種身份驗(yàn)證的實(shí)現(xiàn)，如cookie、Token、auth等；
4. 提供了方便的身份驗(yàn)證和Token生成；
5. 更好的自定義身份驗(yàn)證流程。

2.2 Token的實(shí)現(xiàn)原理

在Laravel Sanctum中，Token的實(shí)現(xiàn)原理與session實(shí)現(xiàn)原理類似。在請求中，客戶端向服務(wù)器發(fā)出請求時(shí)，將Token作為請求參數(shù)或Header中的Authorization字段發(fā)送給服務(wù)器。服務(wù)器在檢查Token是否有效，并在有效期內(nèi)，給予請求操作的權(quán)限或者返回錯(cuò)誤信息。Token的實(shí)現(xiàn)流程如下：

1. 創(chuàng)建Token：當(dāng)用戶登錄時(shí)，Sanctum將為該用戶生成一個(gè)隨機(jī)的Token，并將該Token保存在后臺(tái)數(shù)據(jù)庫中；
2. 發(fā)送Token：將Token作為請求參數(shù)或者Header中的Authorization字段發(fā)送給服務(wù)器；
3. Token驗(yàn)證：在服務(wù)器端，Sanctum將檢查接收到的Token是否有效，并決定授權(quán)或拒絕；
4. Tokens管理：Sanctum提供了一系列API來創(chuàng)建、撤銷、查找和驗(yàn)證Token。

三、 Laravel Token的使用

Sanctum提供了方便易用的API來使用Token，包括Token的創(chuàng)建、撤銷、查找和驗(yàn)證等。下面是Token的使用方式：

3.1 安裝 Sanctum

在應(yīng)用程序中，首先需要將Sanctum的依賴包引入到應(yīng)用的composer.json文件：

composer?require?laravel/sanctum

安裝完成后，需要在config/app.php文件中添加如下配置：

'providers'?=>?[?
????//?Other?service?providers...?
????Laravel\Sanctum\SanctumServiceProvider::class,?
],

3.2 發(fā)布配置

在安裝完成后，需要運(yùn)行以下命令來發(fā)布Sanctum的配置文件：

php?artisan?vendor:publish?--provider="Laravel\Sanctum\SanctumServiceProvider"

3.3 配置Middleware

在使用Sanctum時(shí)，需要在對應(yīng)的路由中添加中間件。在Laravel中，已經(jīng)內(nèi)置了API認(rèn)證的中間件，可以直接調(diào)用。

3.4 創(chuàng)建Token

在登錄后，可以使用如下代碼來為當(dāng)前用戶創(chuàng)建Token：

use?Illuminate\Http\Request;?
use?Illuminate\Support\Facades\Hash;?
use?Illuminate\Validation\ValidationException;?
use?App\Models\User;?
use?Illuminate\Support\Facades\Auth;?
use?Illuminate\Support\Facades\Route;?

//?創(chuàng)建Token?
Route::post('/api/token/create',?function?(Request?$request)?{?
????$request->validate([?
????????'email'?=>?'required|email',?
????????'password'?=>?'required',?
????]);?

????$user?=?User::where('email',?$request->email)->first();?

????if?(!?$user?||?!?Hash::check($request->password,?$user->password))?{?
????????throw?ValidationException::withMessages([?
????????????'email'?=>?['The?provided?credentials?are?incorrect.'],?
????????]);?
????}?

????return?$user->createToken($request->header('User-Agent'))->plainTextToken;?
});

在上面的代碼中，可以看到在創(chuàng)建Token時(shí)，使用機(jī)器的User-Agent作為額外的參數(shù)。這里的User-Agent是一個(gè)HTTP頭，記錄了瀏覽器或應(yīng)用程序的相關(guān)信息。這個(gè)信息將作為Token的一部分，使得Token一旦被盜用或者惡意使用，可以很容易地發(fā)現(xiàn)和撤銷。

3.5 撤銷Token

創(chuàng)建的Token一旦被盜用或者失效，可以使用如下代碼撤銷：

Auth::user()->tokens()->delete();

3.6 驗(yàn)證擴(kuò)展

Sanctum還提供了良好的驗(yàn)證擴(kuò)展，可以方便地進(jìn)行訪問控制，代碼如下：

use?Illuminate\Http\Request;?
use?Illuminate\Support\Facades\Hash;?
use?Illuminate\Validation\ValidationException;?
use?App\Models\User;?
use?Illuminate\Support\Facades\Auth;?
use?Illuminate\Support\Facades\Route;?
use?Laravel\Sanctum\HasApiTokens;

class?User?extends?Authenticatable?
{
????use?HasApiTokens,?Notifiable;
}

使用上述代碼之后，我們就可以在User模型中使用can接口來進(jìn)行訪問控制，代碼如下：

$request->user()->can('update',?$post);

在上面的代碼中，can將根據(jù)當(dāng)前用戶的角色、權(quán)限和策略，判斷用戶是否有權(quán)進(jìn)行更新操作。需要注意的是，用戶需要正確實(shí)現(xiàn)自己的訪問控制邏輯。

四、 總結(jié)

在本文中，我們介紹了Laravel中Token的底層實(shí)現(xiàn)機(jī)制，尤其是使用Sanctum擴(kuò)展包的方式。Sanctum提供了方便易用的API，能夠快速集成到應(yīng)用程序中，并提高應(yīng)用程序的安全性。Token的使用方式、創(chuàng)建、撤銷和管理，以及訪問控制等方面均進(jìn)行了詳細(xì)的講解。

在今天的互聯(lián)網(wǎng)世界中，隨著API和Web服務(wù)的廣泛應(yīng)用，Token作為一種身份驗(yàn)證方式，將在很多應(yīng)用程序中得到更加廣泛的應(yīng)用。Laravel框架提供了良好的Token實(shí)現(xiàn)機(jī)制，可以更好地保護(hù)Web應(yīng)用免受非法訪問。

以上是一文介紹Laravel中Token的實(shí)現(xiàn)機(jī)制的詳細(xì)內(nèi)容。更多信息請關(guān)注PHP中文網(wǎng)其他相關(guān)文章！