laravel是一个使用php编程语言开发的web应用框架,它的卓越表现得益于其内部集成大量功能强大的扩展包。其中就包括了token的底层实现。token,即令牌,是web应用程序常用的一种身份验证方式,通常用于保护api和web服务免受非法访问。在这篇文章中,我们将介绍laravel中token的实现机制。
一、令牌的概念
Token,顾名思义,就是指一种令牌,是一种标记,可以代表某种身份信息或者授权信息。它通常由服务器产生并发放给客户端,客户端收到令牌后将其存放在本地,在后续请求时加入请求头或者请求参数中,作为身份验证或授权的标识。服务器通过检查令牌是否有效,就可以确定请求是否具有身份验证或者授权信息。
令牌的使用能够更有效地保护Web应用免受未经授权的访问,尤其是在API和Web服务中,令牌是必不可少的。
二、 Laravel Token的实现
2.1 Laravel Sanctum
Laravel Sanctum是一款轻量级的身份验证包,可以为Laravel应用程序提供API身份验证,基于API秘钥或者Token,让应用程序更好的运行在无状态环境中,如SPA应用程序、单页应用程序和移动应用程序等。Laravel Sanctum提供了以下功能:
无需配置即可开始使用; 支持使用session、Token以及API秘钥等多种身份验证方式; 内置了多种身份验证的实现,如cookie、Token、auth等; 提供了方便的身份验证和Token生成; 更好的自定义身份验证流程。2.2 Token的实现原理
在Laravel Sanctum中,Token的实现原理与session实现原理类似。在请求中,客户端向服务器发出请求时,将Token作为请求参数或Header中的Authorization字段发送给服务器。服务器在检查Token是否有效,并在有效期内,给予请求操作的权限或者返回错误信息。Token的实现流程如下:
创建Token:当用户登录时,Sanctum将为该用户生成一个随机的Token,并将该Token保存在后台数据库中; 发送Token:将Token作为请求参数或者Header中的Authorization字段发送给服务器; Token验证:在服务器端,Sanctum将检查接收到的Token是否有效,并决定授权或拒绝; Tokens管理:Sanctum提供了一系列API来创建、撤销、查找和验证Token。三、 Laravel Token的使用
Sanctum提供了方便易用的API来使用Token,包括Token的创建、撤销、查找和验证等。下面是Token的使用方式:
3.1 安装 Sanctum
在应用程序中,首先需要将Sanctum的依赖包引入到应用的composer.json文件:
1
composer require laravel/sanctum
安装完成后,需要在config/app.php文件中添加如下配置:
1
2
3
4
providers => [
// Other service providers...
LaravelSanctumSanctumServiceProvider::class,
],
3.2 发布配置
在安装完成后,需要运行以下命令来发布Sanctum的配置文件:
1
php artisan vendor:publish --provider="LaravelSanctumSanctumServiceProvider"
3.3 配置Middleware
在使用Sanctum时,需要在对应的路由中添加中间件。在Laravel中,已经内置了API认证的中间件,可以直接调用。
3.4 创建Token
在登录后,可以使用如下代码来为当前用户创建Token:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
use IlluminateHttpRequest;
use IlluminateSupportFacadesHash;
use IlluminateValidationValidationException;
use AppModelsUser;
use IlluminateSupportFacadesAuth;
use IlluminateSupportFacadesRoute;
// 创建Token
Route::post(/api/token/create, function (Request $request) {
$request->validate([
email => required|email,
password => required,
]);
$user = User::where(email, $request->email)->first();
if (! $user || ! Hash::check($request->password, $user->password)) {
throw ValidationException::withMessages([
email => [The provided credentials are incorrect.],
]);
}
return $user->createToken($request->header(User-Agent))->plainTextToken;
});
在上面的代码中,可以看到在创建Token时,使用机器的User-Agent作为额外的参数。这里的User-Agent是一个HTTP头,记录了浏览器或应用程序的相关信息。这个信息将作为Token的一部分,使得Token一旦被盗用或者恶意使用,可以很容易地发现和撤销。
3.5 撤销Token
创建的Token一旦被盗用或者失效,可以使用如下代码撤销:
1
Auth::user()->tokens()->delete();
3.6 验证扩展
Sanctum还提供了良好的验证扩展,可以方便地进行访问控制,代码如下:
1
2
3
4
5
6
7
8
9
10
11
12
use IlluminateHttpRequest;
use IlluminateSupportFacadesHash;
use IlluminateValidationValidationException;
use AppModelsUser;
use IlluminateSupportFacadesAuth;
use IlluminateSupportFacadesRoute;
use LaravelSanctumHasApiTokens;
class User extends Authenticatable
{
use HasApiTokens, Notifiable;
}
使用上述代码之后,我们就可以在User模型中使用can接口来进行访问控制,代码如下:
1
$request->user()->can(update, $post);
在上面的代码中,can将根据当前用户的角色、权限和策略,判断用户是否有权进行更新操作。需要注意的是,用户需要正确实现自己的访问控制逻辑。
四、 总结
在本文中,我们介绍了Laravel中Token的底层实现机制,尤其是使用Sanctum扩展包的方式。Sanctum提供了方便易用的API,能够快速集成到应用程序中,并提高应用程序的安全性。Token的使用方式、创建、撤销和管理,以及访问控制等方面均进行了详细的讲解。
在今天的互联网世界中,随着API和Web服务的广泛应用,Token作为一种身份验证方式,将在很多应用程序中得到更加广泛的应用。Laravel框架提供了良好的Token实现机制,可以更好地保护Web应用免受非法访问。
以上就是一文介绍Laravel中Token的实现机制的详细内容,更多请关注php中文网其它相关文章!