官网:https://jwt-auth.readthedocs.io

参考:https://learnku.com/articles/10885/full-use-of-jwt#99529f

1、token是什么

​ token 翻译为令牌,就是鉴别身份的凭据,类似于身份证;

​ token 本质就是一大串字符串,最常用的场景就是接口对接的鉴权。

​ token 通过一次登录验证,得到一个鉴权字符串,随后其它的请求每次都携带这个鉴权字符串,即可完成鉴权。

2、jwt是什么

​ jwt 全称json web token(翻译为数据网络令牌)

​ jwt 是一种规范化的 token,让数据在网络中安全传输。

​ jwt 使用场景:

​ 无状态的 RESTful API

​ SSO 单点登录

3、jwt安装&配置

3.1、通过composer安装

//安装1.0以上版本

composer require tymon/jwt-auth 1.*@rc

3.2、配置

添加配置(config/app.php)

//providers元素中添加:

Tymon\JWTAuth\Providers\LaravelServiceProvider::class,

//aliases元素中添加:

'JWTAuth' => Tymon\JWTAuth\Facades\JWTAuth::class,

'JWTFactory' => Tymon\JWTAuth\Facades\JWTFactory::class,

发布配置

php artisan vendor:publish --provider="Tymon\JWTAuth\Providers\LaravelServiceProvider"

//会自动生成一个配置文件:config/jwt.php

3.3、生成加密密钥

php artisan jwt:secret

//.env 文件下生成一个加密密钥

3.4、更新生成token模型

如果使用默认的 User 表来生成 token,app\user.php

实现JWTSubject接口,实现getJWTIdentifier()和getJWTCustomClaims()方法

use Tymon\JWTAuth\Contracts\JWTSubject;

class User extends Authenticatable implements JWTSubject

{

    ...

    public function getJWTIdentifier()

    {

        return $this->getKey();

    }

    public function getJWTCustomClaims()

    {

        return [];

    }

}

3.5.修改 auth.php

​ config/auth.php

'guards' => [

    'web' => [

        'driver' => 'session',

        'provider' => 'users',

    ],

	'api' => [

		'driver' => 'jwt',      // 原来是 token 改成jwt

		'provider' => 'users',

	],

],

4、jwt准备

4.1、新建控制器

php artisan make:controller AuthController

4.2、控制器添加方法

官方案例:

​ login登录,me获取用户信息,logout退出登录,refresh刷新token,respondWithToken返回token

<?php

namespace App\Http\Controllers;

class AuthController extends Controller

{

    /**

     * Create a new AuthController instance.

     * 要求附带email和password(数据来源users表)

     * @return void

     */

    public function __construct()

    {

        // 这里额外注意了:官方文档样例中只除外了『login』

        // 这样的结果是,token 只能在有效期以内进行刷新,过期无法刷新

        // 如果把 refresh 也放进去,token 即使过期但仍在刷新期以内也可刷新

        // 不过刷新一次作废

        $this->middleware('auth:api', ['except' => ['login']]);

        // 另外关于上面的中间件,官方文档写的是『auth:api』

        // 但是我推荐用 『jwt.auth』,效果是一样的,但是有更加丰富的报错信息返回

    }

    /**

     * Get a JWT via given credentials.

     *

     * @return \Illuminate\Http\JsonResponse

     */

    public function login()

    {

        $credentials = request(['email', 'password']);

        if (! $token = auth('api')->attempt($credentials)) {

            return response()->json(['error' => 'Unauthorized'], 401);

        }

        return $this->respondWithToken($token);

    }

    /**

     * Get the authenticated User.

     *

     * @return \Illuminate\Http\JsonResponse

     */

    public function me()

    {

        return response()->json(auth('api')->user());

    }

    /**

     * Log the user out (Invalidate the token).

     *

     * @return \Illuminate\Http\JsonResponse

     */

    public function logout()

    {

        auth('api')->logout();

        return response()->json(['message' => 'Successfully logged out']);

    }

    /**

     * Refresh a token.

     * 刷新token,如果开启黑名单,以前的token便会失效。

     * 值得注意的是用上面的getToken再获取一次Token并不算做刷新,两次获得的Token是并行的,即两个都可用。

     * @return \Illuminate\Http\JsonResponse

     */

    public function refresh()

    {

        return $this->respondWithToken(auth('api')->refresh());

    }

    /**

     * Get the token array structure.

     *

     * @param  string $token

     *

     * @return \Illuminate\Http\JsonResponse

     */

    protected function respondWithToken($token)

    {

        return response()->json([

            'access_token' => $token,

            'token_type' => 'bearer',

            'expires_in' => auth('api')->factory()->getTTL() * 60

        ]);

    }

}

4.3、添加路由

routes/api.php

Route::group(['prefix' => 'auth'], function(){

    Route::post('login', 'AuthController@login');

    Route::post('logout', 'AuthController@logout');

    Route::post('refresh', 'AuthController@refresh');

    Route::post('me', 'AuthController@me');

});

4.4、添加users表数据

可以注册是如何添加的,看一下密码的加密方式

App\Http\Controllers\Auth\RegisterController

...

protected function create(array $data)

{

    return User::create([

        'name' => $data['name'],

        'email' => $data['email'],

        'password' => Hash::make($data['password']),

    ]);

}

添加一条用户数据

routes/web.php

Route::get('/register', function(){

    \App\User::create([

        'name' => 'bb',

        'email' => 'test@bb.com',

        'password' => \Illuminate\Support\Facades\Hash::make('123456'),

    ]);

});

5、jwt使用

jwt koken两种使用方式

加到 url 中:?token=你的token

加到 header 中,建议用这种,因为在 https 情况下更安全:Authorization:Bearer 你的token

第二种方式的 Bearer Bearer Bearer 别漏了,

也可以在 AuthController respondWithToken() 返回的时候加上 'Bearer '.$token

6、结果

1、登录返回token

经测试,登录多次产生的token都可以在有效期内使用

其他接口请求时,携带登录返回的token

2、获取用户信息

3、退出,删除token

4、刷新token

laravel JWTAuth实现api接口鉴权(基础篇)的更多相关文章

  1. 项目API接口鉴权流程总结

    权益需求对接中,公司跟第三方公司合作,有时我们可能作为甲方,提供接口给对方,有时我们也作为乙方,调对方接口,这就需要API使用签名方法(Sign)对接口进行鉴权.每一次请求都需要在请求中包含签名信息, ...

  2. EasyNVR摄像机网页H5全平台无插件直播流媒体播放服务二次开发之接口鉴权示例讲解

    背景需求 EasyNVR的使用者应该都清楚的了解到,EasyNVR一个强大的功能就是可以进行全平台的无插件直播.主要原因在于rtsp协议的视频流(默认是需要插件才可以播放的)经由EasyNVR处理可以 ...

  3. Laravel POST请求API接口 使用validate表单验证返回欢迎页

    突然遇到的问题  就是使用Laravel进行开发API接口的时候  发现在表单验证不通过的时候返回了登录页 猜测问题应该是因为表单验证失败后进行了重定向导致的 因为返回状态码200 网上找了好久没找到 ...

  4. 利用Laravel 搭建oauth2 API接口 附 Unauthenticated 解决办法

    利用Laravel 搭建oauth2 API接口 要求 laravel 5.4以上 安装 $ composer require laravel/passport 在配置文件 config/app.ph ...

  5. rcGIS API for JavaScript之基础篇(一)

    ArcGIS API for JavaScript之基础篇(一)上一篇文章介绍了ArcGIS 10.4的安装指南也包含了所需要资源,需要的同学可以去公众号中查找.最近几天学习了2D地图.3D地图以及图 ...

  6. 接口鉴权之sign签名校验与JWT验证

    需求描述: 项目里的几个Webapi接口需要进行鉴权,同接口可被小程序或网页调用,小程序里没有用户登录的概念,网页里有用户登录的概念,对于调用方来源是小程序的情况下进行放权,其他情况下需要有身份验证. ...

  7. Laravel 的 JSON API 接口自动化测试

    Laravel 自带了两种测试类型 Feature Test: 功能测试.针对类似接口这种流程性的测试. Unit Test: 单元测试.针对单个函数这种输入输出结果的测试. 新建一个 Feature ...

  8. laravel 5.6 API 接口开发限制接口访问频率

    在laravel 5.6及以上版本中框架中已自带ThrottleRequests,但是为了更好的处理消息,我们可以再新加一个中间件,来更方便的处理相应信息 第一步: php artisan make: ...

  9. HiMall 3接口鉴权参考

    签名算法 为了防止API调用过程中被黑客恶意篡改,调用任何一个API都需要携带签名,HOP服务端会根据请求参数,对签名进行验证,签名不合法的请求将会被拒绝.TOP目前支持的签名算法只有一种:MD5(s ...

随机推荐

  1. MyEclipse8.5优化

    MyEclipse8.5优化 第一步: 取消自动validation validation有一堆,什么xml.jsp.jsf.js等等,我们没有必要全部都去自动校验一下,只是需要的时候才会手工校验一下 ...

  2. Java总结基础知识

    权限关键字: public:可以被所有其他类所访问,不同的包 protected:当前类的成员.同一个包中.不同包中对子类可见父类protected,继承类 default:同一包中的类可以访问,声明 ...

  3. Python解压缩ZIP格式

    转自:http://blog.csdn.net/linux__kernel/article/details/8271326 很多人在Google上不停的找合适自己的压缩,殊不知Py的压缩很不错.可以试 ...

  4. Java Socket传输数据的文件系统介绍

    转自:http://developer.51cto.com/art/201003/189963.htm Java Socket传输数据在进行的时候有很多的事情需要我们不断的进行有关代码的学习.只有不断 ...

  5. 11_传智播客iOS视频教程_NS前缀和@符号

    NS前缀的有NSLog和NSString Cocoa就是用来开发带界面的应用程序. Foundation框架之中的类.函数绝大多数都是从NextStep来的.看到NS前缀就知道这个类是从哪里来的.是很 ...

  6. ubuntu/linuxmint搜狗输入法无法输入中文或崩溃

    执行下列命令: cd ~/.config rm -rf SogouPY SogouPY.users sogou-qimpanel 然后重启电脑.

  7. Orchard 相关

    Orchard中文网: http://www.orchardch.com/ 起飞网: http://www.qeefee.com/category/orchard

  8. UVa 12709 && UVaLive 6650 Falling Ants (水题)

    题意:给定 n 个长方体的长,宽,高,让你求高最大的时候体积最大是多少. 析:排序,用高和体积排序就好. 代码如下: #pragma comment(linker, "/STACK:1024 ...

  9. hdu4604 Deque(最长上升子序列变形)

    题目链接:http://acm.hdu.edu.cn/showproblem.php?pid=4604 题意:一个含有n个数栈,每次取出一个数,可以把这个数放在deque(双向队列)首部,放在尾部,或 ...

  10. C# 多边形面积计算公式

    最近在做地图相关面积计算显示工作,百度了很多关于多边形面积计算方面公式和代码,只能说贼费劲,最终完成了把结果展示下     原理:鞋带公式 定义:所述鞋带式或鞋带算法(也称为高斯的面积公式和测量员的式 ...