介紹

在本文中，我將使用圖表以易于理解的方式解釋 API 令牌身份驗證。
在粗略了解 API 令牌身份驗證的工作原理后，我將通過基于代碼的方式解釋 API 令牌身份驗證如何使用 Laravel Sanctum 進行工作。

通過閱讀本文，您將了解以下內(nèi)容

• API 令牌身份驗證如何工作
• 如何安裝 Laravel Sanctum
• 在用戶注冊和登錄時生成 API 令牌
• API 令牌身份驗證以限制訪問并驗證資源所有權(quán)
• 注銷時刪除 API 令牌

API 令牌身份驗證的工作原理

1.用戶注冊/登錄請求

客戶端將用戶的登錄信息（例如電子郵件、密碼）發(fā)送到身份驗證服務器。

2.用戶認證

認證服務器驗證登錄信息，檢查用戶是否存在、密碼是否正確。

3.? API 令牌生成

成功登錄后，Auth 服務器會為用戶生成一個 API 令牌。生成的API令牌存儲在personal_access_tokens表中。

4.?API 請求

客戶端向資源服務器發(fā)送 API 請求，并將生成的 API 令牌附加到授權(quán)標頭。

5.? API 令牌驗證

資源服務器驗證API令牌。如果 API 令牌有效，則處理請求。

6. API 響應

資源服務器返回API響應。

如何安裝 Laravel Sanctum

sail php artisan install:api

該命令生成Laravel項目下API token認證所需的api.php文件和遷移文件。

然后，執(zhí)行遷移：

sail artisan migrate

這將創(chuàng)建 individual_access_tokens 表。

2024_10_23_231407_create_personal_access_tokens_table ......... 3.84ms DONE

在用戶注冊和登錄時生成 API 令牌

示例代碼

api.php

Route::post('/register', [AuthController::class, 'register']);

AuthController.php

public function register(Request $request)
{
    $fields = $request->validate([
        'name' => 'required|max:255',
        'email' => 'required|email|unique:users',
        'password' => 'required|confirmed'
    ]);

    $user = User::create($fields);

    $token = $user->createToken($request->name);

    return [
        'user' => $user,
        'token' => $token->plainTextToken
    ];
}

用戶注冊

1. 用戶注冊。
2. 新用戶保存在用戶表中。
3. 生成 API 令牌。 （創(chuàng)建令牌）
4. 生成的API token和用戶信息存儲在personal_access_tokens表中，并向用戶提供API token。

示例代碼

api.php

*Route*::post('/login', [*AuthController*::class, 'login']);

AuthController.php

sail php artisan install:api

用戶登錄

1. 用戶登錄。
2. 驗證用戶是否存在于用戶表中。
3. API token是登錄成功后生成的。 （創(chuàng)建令牌）
4. 生成的API token和用戶信息存儲在personal_access_tokens表中，并向用戶提供API token。

*注意：每次用戶登錄時都會生成一個新的 API 令牌。

API 令牌生成

使用 Postman，發(fā)送具有以下條件的 API 請求以檢查響應。

成功登錄后，會生成 API 令牌。

您可以檢查personal_access_tokens表來確認登錄用戶的名稱和API令牌是否已保存。
*注意：API響應中的令牌與personal_access_tokens表中的令牌不同，因為它在存儲到數(shù)據(jù)庫時經(jīng)過哈希處理。

API令牌認證

1. 用戶發(fā)送 API 請求并在授權(quán)標頭中包含 API 令牌。
2. auth:sanctum 中間件將從 API 請求接收到的 API 令牌與存儲在 individual_access_tokens 表中的 API 令牌進行匹配。
3. 如果 API 令牌成功通過身份驗證，資源服務器將處理 API 請求。
4. 經(jīng)過身份驗證的用戶可以更新或刪除帖子。
5. 資源服務器返回API響應。

限制對帖子功能的訪問

以下是與用戶關(guān)聯(lián)的帖子的 CRUD 過程的示例代碼。

示例代碼：PostController.php

使用 Laravel Sanctum 限制訪問權(quán)限，以便只有登錄的用戶才能創(chuàng)建、編輯和刪除與用戶關(guān)聯(lián)的帖子。
發(fā)送實際的 API 請求以驗證 API 令牌身份驗證是否正確執(zhí)行。

訪問控制標準

用戶API

• 索引，顯示 這些操作提供一般公共信息，不需要 API 令牌身份驗證，以獲得更好的用戶體驗和 SEO。
• 存儲、更新、刪除 為了防止未經(jīng)授權(quán)的訪問并保持數(shù)據(jù)完整性，需要 API 令牌身份驗證。

管理API

• 索引、顯示、存儲、更新、刪除 為了增強安全性，應該通過要求所有控制器操作進行用戶身份驗證來保護不需要公開的 API。

編碼

還可以通過在路由文件中寫入以下內(nèi)容來限制對 apiResource 中設置的帖子的所有端點的訪問。

api.php

sail php artisan install:api

sail artisan migrate

在這種情況下，我們只想為 PostController 中的存儲、更新和刪除操作設置 API 令牌身份驗證。為此，請在 PostController 中創(chuàng)建一個構(gòu)造函數(shù)方法，并將 auth:sanctum 中間件應用于除 index 和 show 之外的所有操作。

PostController.php

2024_10_23_231407_create_personal_access_tokens_table ......... 3.84ms DONE

現(xiàn)在，用戶在創(chuàng)建、更新或刪除帖子時必須在請求中包含令牌。

測試此設置，如果您發(fā)送沒有授權(quán)令牌的請求來創(chuàng)建帖子，則會返回帶有“未經(jīng)身份驗證”消息的 401 錯誤，并且帖子創(chuàng)建失敗。

如果包含授權(quán)令牌，則數(shù)據(jù)創(chuàng)建成功。

同樣，更新和刪除帖子的 API 要求發(fā)送請求時在 Authorization header 中包含 Token。

所有權(quán)驗證后

用戶訪問限制已通過 API 令牌身份驗證實現(xiàn)。
不過，還是有問題。
在當前狀態(tài)下，經(jīng)過身份驗證的用戶可以更新或刪除其他用戶的帖子。
添加一個流程來驗證用戶是否擁有帖子的所有權(quán)。

1. 用戶發(fā)送 API 請求并在授權(quán)標頭中包含 API 令牌。
2. auth:sanctum 中間件將從 API 請求接收到的 API 令牌與存儲在 individual_access_tokens 表中的 API 令牌進行匹配。
3. auth:sanctum 中間件獲取與 API 令牌關(guān)聯(lián)的用戶并檢查該用戶是否擁有目標帖子的所有權(quán)。
4. 如果 API 令牌成功驗證并且用戶擁有目標帖子的所有權(quán)，資源服務器將處理 API 請求。
5. 擁有帖子所有權(quán)的經(jīng)過身份驗證的用戶可以更新和刪除帖子。
6. 資源服務器返回API響應。

編碼

在 Laravel 策略文件中編寫授權(quán)邏輯，以便只有擁有帖子所有權(quán)的用戶才能更新和刪除帖子。

PostController.php

sail php artisan install:api

• 收到請求
  • 用戶發(fā)送 API 請求并在授權(quán)標頭中包含 API 令牌。
• 令牌驗證
  • 資源服務器從 API 請求的 Authorization 標頭中獲取 API 令牌。 然后驗證從請求接收到的 API 令牌是否與存儲在 individual_access_tokens 表中的 API 令牌匹配。
• 用戶識別
  • 如果令牌有效，則識別與令牌關(guān)聯(lián)的用戶。 我們可以通過 $request->user() 方法獲取已識別的用戶。
• 調(diào)用策略 Gate::authorize 方法將經(jīng)過身份驗證的用戶和資源對象作為參數(shù)傳遞給策略的方法。

PostPolicy.php

sail artisan migrate

修改方法:

• 參數(shù)：
  • $user：當前經(jīng)過身份驗證的用戶的實例。
  • $post：Post 模型的實例。
• 邏輯：
  • 檢查當前認證用戶是否擁有指定帖子的所有權(quán)。

更新其他用戶的帖子

1. 將帖子 ID 設置為帖子更新 API 端點的路徑參數(shù)。
2. 在授權(quán)標頭中包含不擁有此帖子的用戶的令牌。
3. 返回 403 錯誤消息，表明您不是帖子的所有者。

注銷時刪除 API 令牌

注銷流程

1. 用戶發(fā)送 API 請求并在授權(quán)標頭中包含 API 令牌
2. auth:sanctum 中間件將從 API 請求接收到的 API 令牌與存儲在 individual_access_tokens 表中的 API 令牌進行匹配。
3. 如果 API 令牌成功通過身份驗證，資源服務器將處理 API 請求。
4. 從personal_access_tokens表中刪除經(jīng)過身份驗證的用戶的API令牌。
5. 資源服務器返回API響應。

編碼

api.php

2024_10_23_231407_create_personal_access_tokens_table ......... 3.84ms DONE

應用 auth::sanctum 中間件進行注銷路由并設置 API Token 身份驗證。

AuthController.php

Route::post('/register', [AuthController::class, 'register']);

服務器將從數(shù)據(jù)庫中刪除當前的 API 令牌。這會使令牌無效并且無法再次使用。
服務器向客戶端返回響應，表示注銷成功。

概括

在本文中，使用圖表以易于理解的方式解釋了 API 令牌身份驗證。
通過利用 Laravel Sanctum，可以使用 API 令牌實現(xiàn)簡單且安全的身份驗證，這允許客戶端以不同于基于會話的身份驗證的靈活性向單個用戶授予訪問權(quán)限。使用中間件和策略，還可以有效保護 API 請求、限制訪問以及驗證資源所有權(quán)。

以上是API令牌認證的詳細內(nèi)容。更多信息請關(guān)注PHP中文網(wǎng)其他相關(guān)文章！