基于 JWT-Auth 实现 API 验证

如果想要了解其生成Token的算法原理,请自行查阅相关资料

需要提及的几点:

  • 使用session存在的问题:

    • session和cookie是为了解决http无状态的方案。session是用户保存在服务器中的状态信息,cookie中则保存jsessionId,请求服务器时,服务器读取jsessionId从而确定用户的身份信息,而session+cookie用在restful接口上破坏了其“无状态”的特性,session运行时都是保存在内存中,而随着认证用户的增多,服务端的开销会明显增大。这也是restful最致力于通过“无状态”解决的问题。如果使用session,那么restful也就没有什么意义了

    • session降低了系统扩展性。用户认证之后,服务端做认证记录,如果认证的记录被保存在内存中的话,这意味着用户下次请求还必须要请求在这台服务器上,这样才能拿到授权的资源,这样在分布式的应用上,相应的限制了负载均衡器的能力。这也意味着限制了应用的扩展能力

    • cookie不安全,很容易导致跨站请求伪造攻击(CSRF)

  • token存在的问题:

    • 如,如何确定token的过期时间?如果token的有效期过短,很容易造成用户用着用着就掉线的情况,降低用户体验。但目前看来好像并没有太好的办法,只能尽量延长token的有效期,或者每隔一次前端自动向服务端请求一次token

  • 基于 JWT-Auth 的 token 验证体系

    (亲测,希望这篇文章让大家少入坑)

  1. 运行软件版本

    • laravel 5.5

  2. 安装 JWT-Auth 扩展包

    composer require tymon/jwt-auth "1.5.*"

  3. 安装完后在配置文件config/app.php 中添加注册服务提供者和别名:

    ...
    
'providers' => [
    
    ...
    
    Tymon\JWTAuth\Providers\JWTAuthServiceProvider::class,
    
]
    
...
    
'aliases' => [
    
    ...
    
    'JWTAuth' => Tymon\JWTAuth\Facades\JWTAuth::class,
    
]

      

  4. 发布资源配置

    php artisan vendor:publish --provider="Tymon\JWTAuth\Providers\JWTAuthServiceProvider"

  5. 运行以下命令生成密钥key在生成的config/jwt.php 中

    // 如果运行后报错,提示ERROR:Method Tymon\JWTAuth\Commands\JWTGenerateCommand::handle() does not exist,将vendor\tymon\jwt-auth\src\Commands\JWTGenerateCommand.php文件中的 fire() 方法修改为 handle()即可正常生成秘钥
    
php artisan jwt:generate

  6. 编辑 app/Http/Kernel.php 添加 jwt.auth 和 jwt.refresh 到应用路由中间件数组:

    protected $routeMiddleware = [
    
    ...
    
    'jwt.auth' => \Tymon\JWTAuth\Middleware\GetUserFromToken::class,
    
//    'jwt.refresh' => \Tymon\JWTAuth\Middleware\RefreshToken::class,
    
];

      

  7. JWTAuth 自身中间件\Tymon\JWTAuth\Middleware\GetUserFromToken 中包含了对生成token的各类情况的验证,以及异常的抛出。下面是其底层验证类GetUserFromToken::class

    // file_path : vendor\tymon\jwt-auth\src\Middleware\GetUserFromToken.php
    
<?php

    
/*
    
 * This file is part of jwt-auth.
    
 *
    
 * (c) Sean Tymon <tymon148@gmail.com>
    
 *
    
 * For the full copyright and license information, please view the LICENSE
    
 * file that was distributed with this source code.
    
 */

    
namespace Tymon\JWTAuth\Middleware;

    
use Tymon\JWTAuth\Exceptions\JWTException; //验证异常类
    
use Tymon\JWTAuth\Exceptions\TokenExpiredException;//token过期异常验证类

    
class GetUserFromToken extends BaseMiddleware
    
{
    
    /**
    
     * Handle an incoming request.
    
     *
    
     * @param  \Illuminate\Http\Request  $request
    
     * @param  \Closure  $next
    
     * @return mixed
    
     */
    
    public function handle($request, \Closure $next)
    
    {
    
        if (! $token = $this->auth->setRequest($request)->getToken()) {
    
            return $this->respond('tymon.jwt.absent', 'token_not_provided', 400);
    
        }

    
        try {
    
            $user = $this->auth->authenticate($token);
    
        } catch (TokenExpiredException $e) {
    
            return $this->respond('tymon.jwt.expired', 'token_expired', $e->getStatusCode(), [$e]);
    
        } catch (JWTException $e) {
    
            return $this->respond('tymon.jwt.invalid', 'token_invalid', $e->getStatusCode(), [$e]);
    
        }

    
        if (! $user) {
    
            return $this->respond('tymon.jwt.user_not_found', 'user_not_found', 404);
    
        }

    
        $this->events->fire('tymon.jwt.valid', $user);

    
        return $next($request);
    
    }
    
}

      

     

    其中,调用的respond 的方法在vendor\tymon\jwt-auth\src\Middleware\BaseMiddleware.php文件中

     /**
    
     * Fire event and return the response.
    
     *
    
     * @param  string   $event
    
     * @param  string   $error
    
     * @param  int  $status
    
     * @param  array    $payload
    
     * @return mixed
    
     */
    
    protected function respond($event, $error, $status, $payload = [])
    
    {
    
        $response = $this->events->fire($event, $payload, true);

    
        return $response ?: $this->response->json(['error' => $error], $status);
    
    }

      

    可看到,当出现异常需要返回错误信息时,会连带返回一个fire event 的警告事件对象,这里不做详述。

  8. 由底层代码中,可以了解到,我们如果想自定义自己所需要的验证方法,可以将这GetUserFromToken::class 内容复制到我们自己自定义的中间件中。比如:

    • 创建自定义的验证中间件App\Http\Middleware\JwtAuth.php

      php artisan make:middleware JwtAuth

    • 全部复制到自定义的中间件中后,校验下中间件中需要的类是否应用完全,命名空间是否正确等等,检查无误后根据需要自行定义需要的验证功能。

      // demo
      
namespace App\Http\Middleware;

      
use Tymon\JWTAuth\Exceptions\JWTException;
      
use Tymon\JWTAuth\Exceptions\TokenExpiredException;
      
use Closure;
      
use Tymon\JWTAuth\Middleware\BaseMiddleware;

      
class JwtAuth extends BaseMiddleware
      
{
      
    public function handle($request, \Closure $next)
      
    {
      
        if (! $token = $this->auth->setRequest($request)->getToken()) {
      
            return $this->respond('tymon.jwt.absent', 'token_not_provided', 400);
      
        }

      
        try {
      
            $user = $this->auth->authenticate($token);
      
        } catch (TokenExpiredException $e) {
      
            return $this->respond('tymon.jwt.expired', 'token_expired', $e->getStatusCode(), [$e]);
      
        } catch (JWTException $e) {
      
            return $this->respond('tymon.jwt.invalid', 'token_invalid', $e->getStatusCode(), [$e]);
      
        }

      
        if (! $user) {
      
            return $this->respond('tymon.jwt.user_not_found', 'user_not_found', 404);
      
        }

      
        $this->events->fire('tymon.jwt.valid', $user);

      
        return $next($request);
      
    }
      
}

        

    • 定义完成后将自定义的中间件放入app\Http\Kernel.php的中间件数组中。

       protected $routeMiddleware = [
      
    ...
      
        //'jwt.auth' => \Tymon\JWTAuth\Middleware\GetUserFromToken::class,
      
        'jwt.auth_self' => \App\Http\Middleware\JwtAuth::class
      
    ];

        

    • 添加好后,即可在routes/api.php 中对需要控制的api路由进行验证控制

      Route::group(['middleware'=>'jwt.auth_self'],function(){
      
    // 需要控制的api路由
      
    // ... code
      
});

        

  9. 我们现在可以对请求来的路由进行token的验证,那么接下来我们就需要生成这个token,让后续访问中间件中的请求路由都携带这个token就能实现验证。这里要提一下在安装JWT-Auth过程中生成的配置文件config/jwt.php

    <?php
    
    return [
    
    ...
    
    /*
    
    |--------------------------------------------------------------------------
    
    | User Model namespace
    
    |--------------------------------------------------------------------------
    
    |
    
    | Specify the full namespace to your User model.
    
    | e.g. 'Acme\Entities\User'
    
    |
    
    */
    
    // 设置你的用户model,默认为laravel自带的 User model
    
    'user' => 'App\User',
    
]

      

    如果需求需要,可在配置文件中修改用户mode ,但配置的model 中需要引用Illuminate\Foundation\Auth\User as Authenticatable,并继承,写法和User model一致

  10. 具体的请求登录以及获取token信息,登出等功能实现,可参考此文章

    Laravel 5 中使用 JWT(Json Web Token) 实现基于API的用户认证,这里简单提及下常用到的有关其token的方法

    <?php
    
    namespace App\Http\Controller;

    use Tymon\JWTAuth\JWTAuth;

    class Auth{
    
        public function test (JWTAuth $JWTAuth){

            // 获取请求携带中的token
    
            $token = $JWTAuth -> getToken();
    
            // 获取token中的用户信息
    
            $user = $JWTAuth -> parseToken() -> authenticate();
    
            // 销毁此次生成的token
    
            $JWTAuth->setToken( $JWTAuth->getToken() )->invalidate();
    
            // 自定义生成token,如果需要
    
            $JWTAuth->setToken('foo.bar.baz');
    
        }
    
    }

      

     

JWT 实现基于API的用户认证的更多相关文章

  1. Laravel 5 中使用 JWT(Json Web Token) 实现基于API的用户认证

    在JavaScript前端技术大行其道的今天,我们通常只需在后台构建API提供给前端调用,并且后端仅仅设计为给前端移动App调用.用户认证是Web应用的重要组成部分,基于API的用户认证有两个最佳解决 ...

  2. 项目一:第十一天 2、运单waybill快速录入 3、权限demo演示-了解 5、权限模块数据模型 6、基于shiro实现用户认证-登录(重点)

    1. easyui DataGrid行编辑功能 2. 运单waybill快速录入 3. 权限demo演示-了解 4. Apache shiro安全框架概述 5. 权限模块数据模型 6. 基于shiro ...

  3. Linux下基于LDAP统一用户认证的研究

    Linux下基于LDAP统一用户认证的研究                   本文出自 "李晨光原创技术博客" 博客,谢绝转载!

  4. 5分钟搞懂:基于token的用户认证

    https://www.qikegu.com/easy-understanding/880 用户认证 用户认证或者说用户登录是确认某人确实是某人的过程,生活中靠身份证,网络上就要靠账号和密码.用户提供 ...

  5. 基于Ajax与用户认证系统的登录验证

    一.登录页面 from django.contrib import admin from django.urls import path from blog import views urlpatte ...

  6. springSecurity + jwt + redis 前后端分离用户认证和授权

    记录一下使用springSecurity搭建用户认证和授权的代码... 技术栈使用springSecurity + redis + JWT + mybatisPlus 部分代码来自:https://b ...

  7. 基于MongodbDB的用户认证-运维笔记

    MongoDB默认是不认证的,默认没有账号,只要能连接上服务就可以对数据库进行各种操作,MongoDB认为安全最好的方法就是在一个可信的环境中运行它,保证之后可信的机器才能访问它,可能这些对一些要求高 ...

  8. tp5使用jwt生成token,做api的用户认证

    首先 composer 安装  firebase/php-jwt github:https://github.com/firebase/php-jwt composer require firebas ...

  9. SpringSecurity学习之基于数据库的用户认证

    SpringSecurity给我们提供了一套最基本的认证方式,可是这种方式远远不能满足大多数系统的需求.不过好在SpringSecurity给我们预留了许多可扩展的接口给我们,我们可以基于这些接口实现 ...

随机推荐

  1. 修改编码为utf8mb4 以支持emoji表情

    环境: 项目db的所有字符集都已经初始化为utf-8,如 status命令显示如下: Server characterset: utf8Db characterset: utf8Client char ...

  2. redis心得体会

    redis简介: 在我们日常的Java Web开发中,无不都是使用数据库来进行数据的存储,由于一般的系统任务中通常不会存在高并发的情况,所以这样看起来并没有什么问题,可是一旦涉及大数据量的需求,比如一 ...

  3. 美国知名Cloudflare网络公司遭中国顶尖黑客攻击

    最近中美贸易战愈演愈烈,美国知名Cloudflare网络公司的客户的分布式拒绝服务攻击今天在恶意流量方面达到了新的高度,黑客并袭击了该公司在欧洲和美国的数据中心.根据Cloudflare首席执行官马修 ...

  4. UML建模重点圈划

    面向对象的特征 *P9*>封装性>继承性>多态性>传递性 建模语言的三个类别 *P14*> - 非形式化的.半形式化的和形式化的 UML 特点*15*主要有三个特点:&g ...

  5. Python3及Pycharm安装

    1.首先去python官网下载相应版本的Python安装包.如下: 2.下载完成后解压,双击exe文件进行安装,看到如下界面:Install Now表示默认安装:Customize installat ...

  6. deque的简单使用

    depue 是python提供的一个数据结构,线程安全,功能比list强大 from collections import deque user_list = ['admin', 'root'] us ...

  7. python学习笔记(十九)面向对象编程,类

    一.面向对象编程 面向对象,是一种程序设计思想. 编程范式:编程范式就是你按照什么方式去编程,去实现一个功能.不同的编程范式本质上代表对各种类型的任务采取的不同的解决问题的思路,两种最重要的编程范式分 ...

  8. Xcode模拟器快捷键

    command + 左右 = 横竖屏旋转 command + H + H = 切入层级后台模式

  9. 深圳市利汇电子商务科技有限公司2019年java面试笔试题

    垃圾公司,建议不要去,写的地址去了发现是两个公司公用一个办公场地,还没有公司的招牌,去了交简历给前台然后就是 填一份求职申请,一份笔试题如下,然后就等待,先是人事的一个小妹妹面试,问一些个人问题,为什 ...

  10. Facebook发布Tweaks:让微调iOS应用变得更简单

    假设,你正在开发一款iOS应用. 你的iOS应用有很多动画效果,而你(或你的设计师)希望让那些动画效果的持续时间恰到好处.那华丽的抽屉特效是应该耗时半秒钟,还是四分之三秒呢? 通常情况下,开发者会对合 ...