如何使用 Laravel Sanctum 处理 SPA 和基于令牌的身份验证

【问题标题】:How can i handle both SPA and token based authentication with Laravel Sanctum如何使用 Laravel Sanctum 处理 SPA 和基于令牌的身份验证
【发布时间】:2021-09-16 03:20:39
【问题描述】:

我花了几天时间在 Laravel Sanctum 上试图弄清楚如何设置我的身份验证系统。

上下文

我正在为我的公司构建一个门票网络应用程序,为此我决定构建一个 API 和一个使用该 API 的 React 前端应用程序。该应用程序的最终用户需要一个帐户来管理工单,因此我在数据库中创建了一个用户表,并为 API 创建了多个路由来创建、删除和更新用户。为了管理用户 api 身份验证,我决定使用 Laravel Sanctum 和他内置的基于会话的 SPA 身份验证系统。

为此,我按照指南设置了所有需求,以确保前端已准备好与 laravel sanctum 一起使用。这是我用于 api 中间件的 Kernel.php:

'api' => [
            \Laravel\Sanctum\Http\Middleware\EnsureFrontendRequestsAreStateful::class,
            'throttle:api',
            \Illuminate\Routing\Middleware\SubstituteBindings::class,
],

以及 web.php 中通过 Laravel Sanctum SPA 身份验证登录/注销用户的路由。

<?php
use App\Http\Controllers\UserController;
use Illuminate\Support\Facades\Route;

Route::post('/login', [UserController::class, 'login']);
Route::get('/logout', [UserController::class, 'logout']);

问题

我必须构建一个非 Web 应用程序,特别是一个 Windows 服务,它需要在数据库中获取数据并使用 API 的 /api/tickets 端点和 POST 方法来使用这些数据创建一个新票证.

我知道这个 futur windows-service 不是前端应用程序,所以我不能使用 SPA 身份验证系统。相反,我想使用带有 Laravel Sanctum 的令牌来验证服务。

我的问题是:

  • 如何实现这一点并将users 身份验证和 service 身份验证。
  • 因为我的 api 包含 http://myapi.net/login et http://myapi.net/logout 用于最终用户身份验证,我需要吗 创建类似api/auth/service 路由来发送和删除令牌?
  • 我应该在我的数据库中创建一个名为service 的新表还是留下来? 与user 表?

【问题讨论】:

    标签: laravel authentication laravel-sanctum


    【解决方案1】:

    我正在从事一个具有类似背景的项目。我所做的是根据他们被允许对 API 的使用来建立用户配置文件。为此使用圣所令牌能力: https://laravel.com/docs/8.x/sanctum#token-abilities

    1. 确保您的 User 类扩展 Authenticable:
    use Laravel\Sanctum\HasApiTokens;

class User extends Authenticatable
{
    use HasApiTokens, HasFactory, Notifiable;
}
    1. 为您的服务配置文件身份验证创建 API 路由和控制器方法,您可以在其中分配一些您需要的特殊令牌功能:
    $token = $user->createToken('app-token', ['service'])->plainTextToken;

    ...其中“服务”将是您要检查的能力。在 /login 端点中将此令牌作为 API-KEY 返回。

    1. 在每个服务 API 路径上,使用 Sanctum 中间件验证身份验证:
    Route::middleware('auth:sanctum')->post('/updatesomething', 'something@update');
    1. 在控制器方法中,验证令牌功能以防止 Web 用户使用它们,反之亦然。理想情况下,您可以使用此逻辑创建一个新的中间件以应用于这些路由。
    public function update(Request $request){
        if ($user->tokenCan('service')) {
        //do allowed actions to user profile 'service'
    }
}

    通过这种方式,您现在可以使用“服务”配置文件来使用您的 API,并为此使用在以下请求中 /login 中收到的令牌进行身份验证。您应该将其包含在“Bearer Token”之类的标头中。 或者,您可以在 API 中创建注销方法,并在您认为合适时撤销令牌:

    $user->tokens()->delete();

    【讨论】:

    • 嗨 jssDev!抱歉花了这么长时间才回答,我正在度假,当我回来时,我没想到很快就回来了。所以基本上我理解你的建议,我想我会处理这个。我只有一个问题:我的服务不需要用于身份验证的电子邮件,而用户(最终用户)需要一个,所以我需要为服务创建另一个 Authenticatable 模型对吗?
    • 嗨阿德里安!抱歉耽搁了,但这次是我在度假:) 我认为没有必要创建一个新模型。只需尝试在您的登录控制器方法中唯一地获取用户(可能通过用户 ID)。作为响应,除了身份验证令牌之外,您还必须返回此用户对象。
    猜你喜欢
    • 1970-01-01
    • 2015-10-29
    • 2015-03-28
    • 2018-03-09
    • 2023-04-10
    • 2021-07-17
    • 1970-01-01
    • 2021-04-05
    • 2021-06-04
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode