官网:https://jwt-auth.readthedocs.io

参考:https://learnku.com/articles/10885/full-use-of-jwt#99529f

1、token是什么

​ token 翻译为令牌,就是鉴别身份的凭据,类似于身份证;

​ token 本质就是一大串字符串,最常用的场景就是接口对接的鉴权。

​ token 通过一次登录验证,得到一个鉴权字符串,随后其它的请求每次都携带这个鉴权字符串,即可完成鉴权。

2、jwt是什么

​ jwt 全称json web token(翻译为数据网络令牌)

​ jwt 是一种规范化的 token,让数据在网络中安全传输。

​ jwt 使用场景:

​ 无状态的 RESTful API

​ SSO 单点登录

3、jwt安装&配置

3.1、通过composer安装

//安装1.0以上版本

composer require tymon/jwt-auth 1.*@rc

3.2、配置

添加配置(config/app.php)

//providers元素中添加:

Tymon\JWTAuth\Providers\LaravelServiceProvider::class,

//aliases元素中添加:

'JWTAuth' => Tymon\JWTAuth\Facades\JWTAuth::class,

'JWTFactory' => Tymon\JWTAuth\Facades\JWTFactory::class,

发布配置

php artisan vendor:publish --provider="Tymon\JWTAuth\Providers\LaravelServiceProvider"

//会自动生成一个配置文件:config/jwt.php

3.3、生成加密密钥

php artisan jwt:secret

//.env 文件下生成一个加密密钥

3.4、更新生成token模型

如果使用默认的 User 表来生成 token,app\user.php

实现JWTSubject接口,实现getJWTIdentifier()和getJWTCustomClaims()方法

use Tymon\JWTAuth\Contracts\JWTSubject;

class User extends Authenticatable implements JWTSubject

{

    ...

    public function getJWTIdentifier()

    {

        return $this->getKey();

    }

    public function getJWTCustomClaims()

    {

        return [];

    }

}

3.5.修改 auth.php

​ config/auth.php

'guards' => [

    'web' => [

        'driver' => 'session',

        'provider' => 'users',

    ],

	'api' => [

		'driver' => 'jwt',      // 原来是 token 改成jwt

		'provider' => 'users',

	],

],

4、jwt准备

4.1、新建控制器

php artisan make:controller AuthController

4.2、控制器添加方法

官方案例:

​ login登录,me获取用户信息,logout退出登录,refresh刷新token,respondWithToken返回token

<?php

namespace App\Http\Controllers;

class AuthController extends Controller

{

    /**

     * Create a new AuthController instance.

     * 要求附带email和password(数据来源users表)

     * @return void

     */

    public function __construct()

    {

        // 这里额外注意了:官方文档样例中只除外了『login』

        // 这样的结果是,token 只能在有效期以内进行刷新,过期无法刷新

        // 如果把 refresh 也放进去,token 即使过期但仍在刷新期以内也可刷新

        // 不过刷新一次作废

        $this->middleware('auth:api', ['except' => ['login']]);

        // 另外关于上面的中间件,官方文档写的是『auth:api』

        // 但是我推荐用 『jwt.auth』,效果是一样的,但是有更加丰富的报错信息返回

    }

    /**

     * Get a JWT via given credentials.

     *

     * @return \Illuminate\Http\JsonResponse

     */

    public function login()

    {

        $credentials = request(['email', 'password']);

        if (! $token = auth('api')->attempt($credentials)) {

            return response()->json(['error' => 'Unauthorized'], 401);

        }

        return $this->respondWithToken($token);

    }

    /**

     * Get the authenticated User.

     *

     * @return \Illuminate\Http\JsonResponse

     */

    public function me()

    {

        return response()->json(auth('api')->user());

    }

    /**

     * Log the user out (Invalidate the token).

     *

     * @return \Illuminate\Http\JsonResponse

     */

    public function logout()

    {

        auth('api')->logout();

        return response()->json(['message' => 'Successfully logged out']);

    }

    /**

     * Refresh a token.

     * 刷新token,如果开启黑名单,以前的token便会失效。

     * 值得注意的是用上面的getToken再获取一次Token并不算做刷新,两次获得的Token是并行的,即两个都可用。

     * @return \Illuminate\Http\JsonResponse

     */

    public function refresh()

    {

        return $this->respondWithToken(auth('api')->refresh());

    }

    /**

     * Get the token array structure.

     *

     * @param  string $token

     *

     * @return \Illuminate\Http\JsonResponse

     */

    protected function respondWithToken($token)

    {

        return response()->json([

            'access_token' => $token,

            'token_type' => 'bearer',

            'expires_in' => auth('api')->factory()->getTTL() * 60

        ]);

    }

}

4.3、添加路由

routes/api.php

Route::group(['prefix' => 'auth'], function(){

    Route::post('login', 'AuthController@login');

    Route::post('logout', 'AuthController@logout');

    Route::post('refresh', 'AuthController@refresh');

    Route::post('me', 'AuthController@me');

});

4.4、添加users表数据

可以注册是如何添加的,看一下密码的加密方式

App\Http\Controllers\Auth\RegisterController

...

protected function create(array $data)

{

    return User::create([

        'name' => $data['name'],

        'email' => $data['email'],

        'password' => Hash::make($data['password']),

    ]);

}

添加一条用户数据

routes/web.php

Route::get('/register', function(){

    \App\User::create([

        'name' => 'bb',

        'email' => 'test@bb.com',

        'password' => \Illuminate\Support\Facades\Hash::make('123456'),

    ]);

});

5、jwt使用

jwt koken两种使用方式

加到 url 中:?token=你的token

加到 header 中,建议用这种,因为在 https 情况下更安全:Authorization:Bearer 你的token

第二种方式的 Bearer Bearer Bearer 别漏了,

也可以在 AuthController respondWithToken() 返回的时候加上 'Bearer '.$token

6、结果

1、登录返回token

经测试,登录多次产生的token都可以在有效期内使用

其他接口请求时,携带登录返回的token

2、获取用户信息

3、退出,删除token

4、刷新token

laravel JWTAuth实现api接口鉴权(基础篇)的更多相关文章

  1. 项目API接口鉴权流程总结

    权益需求对接中,公司跟第三方公司合作,有时我们可能作为甲方,提供接口给对方,有时我们也作为乙方,调对方接口,这就需要API使用签名方法(Sign)对接口进行鉴权.每一次请求都需要在请求中包含签名信息, ...

  2. EasyNVR摄像机网页H5全平台无插件直播流媒体播放服务二次开发之接口鉴权示例讲解

    背景需求 EasyNVR的使用者应该都清楚的了解到,EasyNVR一个强大的功能就是可以进行全平台的无插件直播.主要原因在于rtsp协议的视频流(默认是需要插件才可以播放的)经由EasyNVR处理可以 ...

  3. Laravel POST请求API接口 使用validate表单验证返回欢迎页

    突然遇到的问题  就是使用Laravel进行开发API接口的时候  发现在表单验证不通过的时候返回了登录页 猜测问题应该是因为表单验证失败后进行了重定向导致的 因为返回状态码200 网上找了好久没找到 ...

  4. 利用Laravel 搭建oauth2 API接口 附 Unauthenticated 解决办法

    利用Laravel 搭建oauth2 API接口 要求 laravel 5.4以上 安装 $ composer require laravel/passport 在配置文件 config/app.ph ...

  5. rcGIS API for JavaScript之基础篇(一)

    ArcGIS API for JavaScript之基础篇(一)上一篇文章介绍了ArcGIS 10.4的安装指南也包含了所需要资源,需要的同学可以去公众号中查找.最近几天学习了2D地图.3D地图以及图 ...

  6. 接口鉴权之sign签名校验与JWT验证

    需求描述: 项目里的几个Webapi接口需要进行鉴权,同接口可被小程序或网页调用,小程序里没有用户登录的概念,网页里有用户登录的概念,对于调用方来源是小程序的情况下进行放权,其他情况下需要有身份验证. ...

  7. Laravel 的 JSON API 接口自动化测试

    Laravel 自带了两种测试类型 Feature Test: 功能测试.针对类似接口这种流程性的测试. Unit Test: 单元测试.针对单个函数这种输入输出结果的测试. 新建一个 Feature ...

  8. laravel 5.6 API 接口开发限制接口访问频率

    在laravel 5.6及以上版本中框架中已自带ThrottleRequests,但是为了更好的处理消息,我们可以再新加一个中间件,来更方便的处理相应信息 第一步: php artisan make: ...

  9. HiMall 3接口鉴权参考

    签名算法 为了防止API调用过程中被黑客恶意篡改,调用任何一个API都需要携带签名,HOP服务端会根据请求参数,对签名进行验证,签名不合法的请求将会被拒绝.TOP目前支持的签名算法只有一种:MD5(s ...

随机推荐

  1. apple IOS的base64编解码

    <pre style="word-wrap: break-word; white-space: pre-wrap;">/* * Copyright (c) 2003 A ...

  2. [九省联考2018]一双木棋chess——搜索+哈希

    题目:bzoj5248 https://www.lydsy.com/JudgeOnline/problem.php?id=5248 洛谷P4363 https://www.luogu.org/prob ...

  3. 在javascript中,我怎么得到下拉条顶端与当前可视的顶端高度的距离,不是和网页顶端的距离

    "滚动条顶端距离" + document.documentElement.scrollTop)

  4. centos 7更换阿里源

    转自 https://blog.csdn.net/jameshadoop/article/details/54881295 centos7 修改yum源为阿里源,某下网络下速度比较快 首先是到yum源 ...

  5. 进击的Python【第十五章】:Web前端基础之DOM

    进击的Python[第十五章]:Web前端基础之DOM 简介:文档对象模型(Document Object Model,DOM)是一种用于HTML和XML文档的编程接口.它给文档提供了一种结构化的表示 ...

  6. time模块,datetime模块

    time模块 time模块是包含各方面对时间操作的函数. 尽管这些常常有效但不是所有方法在任意平台中有效. 时间相关的操作,时间有三种表示方式: 时间戳               1970年1月1日 ...

  7. Linux的proc文件系统 分类: linux 2014-06-02 10:21 623人阅读 评论(0) 收藏

    proc为一个内核数据结构接口,用户空间和内核空间可以通过该接口通信, 与普通文件不同的是,这些虚拟文件的内容都是动态创建的. proc文件系统是一个伪文件系统,它只存在内存当中,而不占用外存空间. ...

  8. 操作JavaScript的Alert弹框

    @Testpublic void testHandleAlert(){ WebElement button =driver.findElement(By.xpath("input" ...

  9. jmeter(十四)解读聚合报告

    一个每天1000万PV的网站需要什么样的性能去支撑呢?继续上一篇,下面我们就来计算一下,前面我们已经搞到了一票数据,但是这些数据的意义还没有说.技术是为业务服务的,下面就来说说怎么让些数据变得有意义. ...

  10. MVC C# 直接导出txt文件

    用asp.net根据数据内容自动生成一个txt文本文件并提供用户下载,此方法文件不保存在服务器上,直接提供给用户下载,到网上搜了一下,都是用的Response.BinaryWrite(),用了几下,发 ...