집 >PHP 프레임워크 >Laravel >Laravel 개발: Laravel Sanctum을 사용하여 API 인증을 구현하는 방법은 무엇입니까?

Laravel 개발: Laravel Sanctum을 사용하여 API 인증을 구현하는 방법은 무엇입니까?

PHPz원래의: 2023-06-14 08:21:472178검색

RESTful API의 인기와 애플리케이션의 광범위한 사용으로 인해 점점 더 많은 애플리케이션에 API 인증 및 승인이 필요하므로 API 보안은 오늘날 소프트웨어 개발에서 매우 중요한 측면이 되었습니다. Laravel Sanctum은 API 인증을 간단하고 안전하게 만들기 위해 설계된 Laravel 7.0과 함께 기본적으로 도입된 경량 인증 시스템입니다. 이번 글에서는 Laravel에서 Sanctum을 사용하여 API 보안을 보장하는 방법을 소개하겠습니다.

Laravel Sanctum 설치

시작하기 전에 Laravel 7.0+ 버전이 설치되었는지 확인해야 합니다. 그런 다음 작곡가를 사용하여 Laravel Sanctum 종속성을 설치할 수 있습니다:

composer require laravel/sanctum

Sanctum을 설치한 후 config/app.php 파일에 다음 코드를 추가합니다: config/app.php文件中加入以下代码：

'providers' => [
    // ...
    LaravelSanctumSanctumServiceProvider::class,
],

'aliases' => [
    //...
    'Sanctum' => LaravelSanctumSanctum::class,
]

这样，Laravel应用程序就已经使用了Sanctum提供的服务和功能。

配置数据库

接下来，在执行数据库迁移之前，我们需要设置Sanctum的数据库表。 Larave lSanctum默认提供了一个包含以下字段的personal_access_tokens数据库表：

id：令牌的唯一标识符
tokenable_type：与令牌关联的模型的类名
tokenable_id：与令牌关联的模型的ID
name：令牌的名称
token：API令牌的值
abilities：令牌的授权

在创建personal_access_tokens表之前，我们需要先创建模型关系。可以通过在AuthServiceProvider中注册以下内容来完成：

use LaravelSanctumSanctum;
//...

public function boot()
{
    $this->registerPolicies(); 

    Sanctum::ignoreMigrations();

    Sanctum::actingAs( null, [
        'superuser'
    ]);
}

Sanctum::ignoreMigrations()用于阻止Laravel在artisan migrate命令中执行Sanctum的数据库迁移文件。但是，在大多数情况下，我们只是将其添加到数据库迁移文件的命令中。Sanctum::actingAs()还提供了一种仅用于开发的方法，该方法在没有用户身份验证的情况下模拟用户身份。

然后，我们需要运行以下命令来创建personal_access_tokens表：

php artisan migrate

创建API令牌

Laravel Sanctum为我们提供了两种方式来为API生成令牌。一种是CreateToken方法，该方法可以创建一个或多个包含可选名称和授予权限的API令牌。这里我们介绍第二种方法，即使用hasApiTokens()函数配合createToken()函数：

// use the HasApiTokens trait within your User Model
use LaravelSanctumHasApiTokens;

class User extends Authenticatable
{
    use HasApiTokens, Notifiable;

    // ...
}

// create a Token with User ID and given Abilities
$personalAccessToken = $user->createToken('API Token', ['server:get','server:post']);

这里我们在用户模型中使用了HasApiTokensTrait，以便在用户模型中实现API令牌功能。我们使用createToken方法来创建一个API令牌，并在创建令牌时指定了一个可选的名称和授权的权限键。

保护API路由

有了API密钥，我们就可以将其注入到每个请求中以进行身份验证。我们可以在Laravel的路由文件中使用sanctum中间件来保护API路由，以便验证请求中的令牌：

// A Group of API routes that require a valid Token
Route::group(['middleware' => 'auth:sanctum'], function () {
    Route::get('/user', function (Request $request) {
        return $request->user();
    });
});

在这段代码中，我们定义了一个包含验证sanctum中间件的路由组。路由组中包含一条路由，该路由仅需要一个有效的Token才能访问。

使用Bearer令牌

使用Bearer令牌是通过HTTP Authorization头来发送API令牌的最常见方法。可以通过在请求头中加入Authorization: Bearer {{$personalAccessToken->plainTextToken}}来授权令牌：

curl -H "Authorization: Bearer xxxxx" http://example.com/api/user

撤销API令牌

最后，我们需要了解如何撤销API令牌。我们可以使用tokens()->delete()函数来删除某个用户的所有API令牌，或使用revoke()

$user->tokens()->delete();

$personalAccessToken->revoke();

이런 방식으로 Laravel 애플리케이션은 이미 Sanctum 서비스 및 제공되는 기능을 사용했습니다.

personal_access_tokens

id

tokenable_type code >: 토큰과 연결된 모델의 클래스 이름 🎜🎜<code>tokenable_id

name

토큰

능력

🎜 personal_access_tokens 테이블을 생성하기 전에 , 모델 우선 관계를 생성해야 합니다. 이는 AuthServiceProvider에 다음을 등록하여 수행할 수 있습니다. 🎜rrreee🎜Santum::ignoreMigrations()는 artisan migration에서 Laravel을 방지하는 데 사용됩니다. 명령 Sanctum의 데이터베이스 마이그레이션 파일을 실행합니다. 그러나 대부분의 경우 데이터베이스 마이그레이션 파일의 명령에 추가하기만 하면 됩니다. Santum::actingAs()는 사용자 인증 없이 사용자를 가장하는 개발 전용 메서드도 제공합니다. 🎜🎜그런 다음 personal_access_tokens 테이블을 생성하려면 다음 명령을 실행해야 합니다. 🎜rrreee

CreateToken

createToken()

hasApiTokens()

HasApiTokensTrait를 사용하여 사용자 모델에서 API 토큰 기능을 구현합니다. <code>createToken

sanctum

라우팅 그룹을 정의합니다.

Bearer

Authorization

Authorization: Bearer {{$personalAccessToken->plainTextToken}}

tokens()->delete()

revoke()

위 내용은 Laravel 개발: Laravel Sanctum을 사용하여 API 인증을 구현하는 방법은 무엇입니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

성명：

이전 기사：Laravel 개발: Laravel Eloquent를 사용하여 데이터베이스 모델을 구축하는 방법은 무엇입니까?다음 기사：Laravel 개발: Laravel Eloquent를 사용하여 데이터베이스 모델을 구축하는 방법은 무엇입니까?