API 认证
API 认证
简介
默认情况下,Laravel 为 API 认证提供了一个简单的解决方案,它通过一个随机令牌分配给应用程序的每个用户。在你的 config/auth.php 配置文件中,已经定义了一个使用 token 驱动的 api 看守器。 这个驱动程序负责检查传入请求上的 API 令牌,并验证它是否匹配数据库中用户分配的令牌。
注意: 虽然 Laravel 附带了一个简单的基于令牌的身份验证保护,但我们强烈建议您考虑 Laravel Passport 来实现提供 API 身份验证的健壮的生产应用程序。
配置
数据库准备
在使用 token 驱动程序之前,你需要 创建一个迁移 它会在你的 users 表中添加一个 api_token 列:
Schema::table('users', function ($table) {
$table->string('api_token', 80)->after('password')
->unique()
->nullable()
->default(null);
});迁移创建后,运行 migrate Artisan 命令。
Tip:如果你选择使用不同的字段名,请确保更新了配置文件
config/auth.php中的storage_key配置项。
令牌生成
将 api_token 列添加到你的 users 表之后,你可以将随机 API 令牌分配给应用程序中的每个用户。 在注册期间创建 User 模型时,应该分配这些令牌。 如果你使用的是 laravel/ui 拓展包提供的 认证脚手架 ,该操作可以在 RegisterController 控制器的 create 方法中完成:
use Illuminate\Support\Facades\Hash;
use Illuminate\Support\Str;
/**
* 在有效注册之后创建一个新用户实例
*
* @param array $data
* @return \App\User
*/
protected function create(array $data)
{
return User::create([
'name' => $data['name'],
'email' => $data['email'],
'password' => Hash::make($data['password']),
'api_token' => Str::random(60),
]);
}哈希令牌
在上面的示例中,API 令牌以纯文本形式存储在数据库中。 如果你想使用 SHA-256 哈希算法来散列你的 API 令牌,你可以将 api 配置的 hash 选项设置为true 。 api 在你的 config/auth.php 配置文件中定义:
'api' => [
'driver' => 'token',
'provider' => 'users',
'hash' => true,
],生成哈希标记
使用散列 API 令牌时,你不应在用户注册期间生成 API 令牌。 取而代之,你需要在应用程序中实现自己的 API 令牌管理页面。 这个页面应允许用户初始化和刷新其 API 令牌。 当用户发出初始化或刷新其令牌的请求时,你应该在数据库中存储令牌的哈希副本,并将令牌的纯文本副本返回到视图/前端客户端以进行一次性显示。
例如,为给定用户初始化/刷新令牌并将纯文本令牌作为JSON响应返回的控制器方法如下所示:
<?php
namespace App\Http\Controllers;
use Illuminate\Http\Request;
use Illuminate\Support\Str;
class ApiTokenController extends Controller
{
/**
* 更新认证用户的 API 令牌。
*
* @param \Illuminate\Http\Request $request
* @return array
*/
public function update(Request $request)
{
$token = Str::random(60);
$request->user()->forceFill([
'api_token' => hash('sha256', $token),
])->save();
return ['token' => $token];
}
}{注} 由于上面例子中, API 令牌有足够的熵(熵的概念是由德国物理学家克劳修斯于1865年所提出。最初是用来描述 “能量退化” 的物质状态参数之一,在热力学中有广泛的应用),创建「彩虹表」来暴力查找哈希令牌的原始值基本是徒劳的,所以也就不需要使用类似于
bcrypt这种哈希方法。
路由保护
Laravel 包含一个 身份认证看守器 可以自动验证传入请求的 API 令牌。 你只需要在任何需要有效访问令牌的路由上指定 auth:api 中间件:
use Illuminate\Http\Request;
Route::middleware('auth:api')->get('/user', function(Request $request) {
return $request->user();
});请求中传递令牌
有几种方法可以将 API 令牌传递给你的应用程序。 我们将在使用 Guzzle HTTP 库演示其用法时去讨论这些方法。 你可以根据应用程序的需要选择其中的任何方法。
请求参数
你的应用程序的 API 使用者可以将其令牌作为 api_token 查询字符串值:
$response = $client->request('GET', '/api/user?api_token='.$token);请求负载
应用程序的 API 使用者可以在请求的表单参数中以 api_token 的形式包含其 API 令牌:
$response = $client->request('POST', '/api/user', [
'headers' => [
'Accept' => 'application/json',
],
'form_params' => [
'api_token' => $token,
],
]);Bearer 令牌
应用程序的 API 使用者可以在请求的 Authorization 头中提供其 API 令牌作为 Bearer 令牌:
$response = $client->request('POST', '/api/user', [
'headers' => [
'Authorization' => 'Bearer '.$token,
'Accept' => 'application/json',
],
]);