讓殺死密碼!魔術登錄鏈接到救援!
- William Shakespeare原創
- 2025-02-10 12:27:14543瀏覽
告別密碼煩惱,擁抱安全便捷的無密碼登錄!本文將指導您如何在Laravel應用中實現基於一次性鏈接的無密碼登錄系統,提升安全性並簡化用戶體驗。
本文由Younes Rafie和Wern Ancheta審核。感謝所有SitePoint的同行評審員,使SitePoint的內容達到最佳狀態!
身份驗證技術不斷發展,從傳統的郵箱-密碼組合,到社交登錄,再到如今的無密碼登錄(更準確地說是“僅郵箱”登錄)。無密碼登錄系統通過向用戶郵箱發送登錄鏈接來驗證身份。
無密碼登錄流程如下:
- 用戶訪問登錄頁面;
- 輸入郵箱地址並確認;
- 系統向郵箱發送登錄鏈接;
- 點擊鏈接後,用戶被重定向回應用並登錄;
- 鏈接失效。
如果您忘記應用密碼但記得註冊郵箱,此方法非常實用。 Slack等應用也採用了這種技術。本教程將演示如何在Laravel應用中實現此系統。完整代碼請見此處。
核心要點
- 摒棄密碼:採用基於一次性使用URL的“魔法登錄鏈接”,實現簡單安全的無密碼認證。
- 用戶友好的設置:利用預定義命令和少量修改,即可輕鬆在Laravel應用中實現此系統。
- 增強的安全性:魔法登錄鏈接消除了傳統密碼系統中常見的漏洞,例如弱密碼和網絡釣魚攻擊。
- 靈活性和控制:用戶仍可以選擇使用傳統密碼登錄,兼顧靈活性與安全性。
- 高效的令牌管理:系統自動處理令牌過期和驗證,確保令牌被正確使用且不會長期有效。
創建應用
首先,創建一個新的Laravel應用。本教程使用Laravel 5.2:
<code class="language-bash">composer create-project laravel/laravel passwordless-laravel 5.2.*</code>
如果您已有包含用戶和密碼的Laravel項目,無需擔心,我們不會修改正常的身份驗證流程,而是在其之上添加一層。用戶仍可以選擇使用密碼登錄。
數據庫設置
在運行遷移之前,需要設置MySQL數據庫。
打開根目錄下的.env文件,輸入主機名、用戶名和數據庫名稱:
<code>[...] DB_CONNECTION=mysql DB_HOST=localhost DB_DATABASE=passwordless-app DB_USERNAME=username DB_PASSWORD= [...]</code>
如果您使用的是Homestead Improved box,數據庫/用戶名/密碼組合為homestead, homestead, secret。
構建身份驗證
Laravel 5.2版本引入了一項很棒的功能:只需一條命令即可添加預製身份驗證層。讓我們執行此操作:
<code class="language-bash">composer create-project laravel/laravel passwordless-laravel 5.2.*</code>
此命令會構建身份驗證所需的一切,即視圖、控制器和路由。
遷移
在database/migrations目錄中,可以看到生成的Laravel應用包含創建users表和password_resets表的遷移文件。
我們不會修改任何內容,因為我們仍然希望應用擁有正常的身份驗證流程。
要創建表,請運行:
<code>[...] DB_CONNECTION=mysql DB_HOST=localhost DB_DATABASE=passwordless-app DB_USERNAME=username DB_PASSWORD= [...]</code>
現在可以運行應用,用戶應該能夠使用導航欄中的鏈接註冊和登錄。
修改登錄鏈接
接下來,我們將修改登錄鏈接,使其重定向到自定義登錄視圖,用戶在該視圖中將僅提交郵箱地址而無需密碼。
導航到resources/views/layouts/app.blade.php。在那裡可以找到導航欄部分。將包含登錄鏈接的行(在檢查用戶是否已註銷的條件語句下方)更改為:
resources/views/layouts/app.blade.php
<code class="language-bash">php artisan make:auth</code>
當未登錄的用戶嘗試訪問受保護的路由時,他們應該被帶到新的自定義登錄視圖,而不是正常的登錄視圖。此行為在authenticate中間件中指定。我們需要對其進行調整:
app/Http/Middleware/Authenticate.php
<code class="language-bash">php artisan migrate</code>
請注意,在else塊中,我們已將重定向更改為指向login/magiclink,而不是正常的login。
創建魔法登錄控制器、視圖和路由
下一步是在Auth文件夾中創建MagicLoginController:
<code class="language-html">[...] @if (Auth::guest()) <li><a href="https://www.php.cn/link/9964364bfd2b38643a0b41b981c01f60'/login/magiclink')%20%7D%7D">Login</a></li> <li><a href="https://www.php.cn/link/9964364bfd2b38643a0b41b981c01f60'/register')%20%7D%7D">Register</a></li> [...]</code>
然後是顯示自定義登錄頁面的路由:
app/Http/routes.php
<code class="language-php">class Authenticate
{
[...]
public function handle($request, Closure $next, $guard = null)
{
if (Auth::guard($guard)->guest()) {
if ($request->ajax() || $request->wantsJson()) {
return response('Unauthorized.', 401);
} else {
return redirect()->guest('login/magiclink');
}
}
return $next($request);
}
[...]</code>
讓我們更新MagicLoginController以包含show操作:
app/Http/Controllers/Auth/MagicLoginController.php
<code class="language-bash">php artisan make:controller Auth\MagicLoginController</code>
對於新的登錄視圖,我們將藉用正常的登錄視圖,但刪除密碼字段。我們還將表單的post URL更改為指向/login/magiclink。
讓我們在views/auth文件夾中創建一個magic文件夾來保存此新視圖:
<code class="language-php">[...]
Route::get('/login/magiclink', 'Auth\MagicLoginController@show');</code>
讓我們將新創建的視圖更新為:
resources/views/auth/magic/login.blade.php
<code class="language-php">class MagicLoginController extends Controller
{
[...]
public function show()
{
return view('auth.magic.login');
}
[...]
}</code>
我們將保留使用密碼登錄的選項,因為用戶可能仍然選擇密碼登錄。因此,如果用戶點擊導航欄中的登錄,他們將看到如下所示的登錄視圖:
剩餘部分由於篇幅限制,無法全部展開,但基本思路如下:
-
生成並關聯令牌: 創建路由和控制器方法來處理登錄表單的提交操作,驗證郵箱地址,為用戶生成令牌,並將令牌與用戶關聯。使用
str_random()生成隨機令牌,並將其存儲在數據庫中。 -
發送令牌郵件: 在
UserToken模型中添加方法,使用 Laravel 的郵件功能發送包含登錄鏈接的郵件。鏈接應包含令牌、郵箱地址和記住我的值。 使用Mail::raw()發送純文本郵件,或創建郵件視圖以增強郵件外觀。 -
令牌驗證和身份驗證: 創建路由和控制器方法來處理登錄鏈接的點擊操作。使用路由模型綁定獲取令牌,驗證令牌是否過期以及是否屬於提交的郵箱地址。使用
Carbon庫來檢查令牌的過期時間。驗證成功後,使用Auth::login()登錄用戶,並刪除已使用的令牌。
通過以上步驟,您就可以在 Laravel 應用中實現一個安全可靠的無密碼登錄系統,為用戶提供更便捷、更安全的登錄體驗。 請記住根據您的實際需求調整令牌過期時間和其他設置。 完整的代碼和更詳細的步驟,請參考您提供的完整代碼鏈接。
以上是讓殺死密碼!魔術登錄鏈接到救援!的詳細內容。更多資訊請關注PHP中文網其他相關文章!