API 認證


#請求負載

  • Bearer 令牌
    • API Authentication
  • 簡介
    ##資料庫遷移
  • 令牌產生
雜湊令牌

#路由保護### #########請求中傳遞令牌############################

簡介

預設情況下,Laravel 為 API 認證提供了一個簡單的解決方案,它透過一個隨機令牌分配給應用程式的每個使用者。在你的 config/auth.php 設定檔中,已經定義了一個使用 token 驅動的 api 看守器。這個驅動程式負責檢查傳入請求上的 API 令牌,並驗證它是否符合資料庫中使用者指派的令牌。

注意: 雖然Laravel 附帶了一個簡單的基於令牌的身份驗證保護,但我們強烈建議您考慮Laravel Passport 來實現提供API 身份驗證的健壯的生產應用程式.

設定

#資料庫準備

在使用token 驅動程式之前,你需要建立一個遷移它會在你的users 表中加入一個api_token 列:

Schema::table('users', function ($table) {  
  $table->string('api_token', 80)->after('password')    
                        ->unique()                        
                        ->nullable()                        
                        ->default(null);
               });

遷移建立後,執行migrate Artisan 指令。

」令牌產生

#將api_token 欄位新增到你的users 表之後,你可以將隨機API 令牌分配給應用程式中的每個使用者。在註冊期間建立 User 模型時,應該指派這些令牌。當使用make:auth Artisan 指令提供的認證鷹架, 這可以在RegisterControllercreate 方法中完成:

use Illuminate\Support\Str;use Illuminate\Support\Facades\Hash;
/**
 * 在有效注册之后创建一个新用户实例:
 *
 * @param  array  $data
 * @return \App\User
 */
 protected function create(array $data){  
     return User::create([     
        'name' => $data['name'],        
        'email' => $data['email'],        
        'password' => Hash::make($data['password']),        
        'api_token' => Str::random(60),   
         ]);
     }

哈希令牌

在上面的範例中,API 令牌以純文字的形式儲存在資料庫中。如果你希望使用 SHA-256 雜湊對 API 令牌進行雜湊, 你可以將 api 看守器配置的 hash 選項設為 trueapi 看守器在你的 config/auth.php 設定檔中定義:

'api' => [   
     'driver' => 'token',    
     'provider' => 'users',    
     'hash' => true,
   ],

產生雜湊令牌

使用雜湊令牌時, 你不應該在使用者註冊期間產生 API 令牌。相反, 你需要在應用程式中實作自己的 API 令牌管理頁面。這個頁面應該允許使用者初始化和刷新其 API 令牌。當使用者發出初始化或刷新令牌請求時,你應該在資料中儲存令牌的雜湊副本,並將令牌的純文字副本返回到視圖 / 前端客戶端進行一次顯示。

例如,為給定使用者初始化/ 刷新令牌並將純文字令牌作為JSON 回應傳回的控制器方法可能如下所示:

<?php
    namespace App\Http\Controllers;
    use Illuminate\Support\Str;
    use Illuminate\Http\Request;
    class ApiTokenController extends Controller{   
     /**
     * 更新已经验证过的用户的 API 令牌。
     *
     * @param  \Illuminate\Http\Request  $request
     * @return array
     */  
   public function update(Request $request)
     {     
        $token = Str::random(60);        
        $request->user()->forceFill([       
             'api_token' => hash('sha256', $token),       
              ])->save();        
        return ['token' => $token];   
       }
    }

{tip} 因為上面例子中的API 令牌具有足夠的熵,創建一個"rainbow tables" 來尋找雜湊令牌的原始值是不切實際的。因此,不需要使用bcrypt 之類的慢散列方法:

#路由保護

Laravel 包含一個認證看守器可以自動驗證傳入要求的API 令牌。你只需要在任何需要有效存取權杖的路由上指定auth:api 中間件:

use Illuminate\Http\Request;
Route::middleware('auth:api')->get('/user', function(Request $request) { 
   return $request->user();
 });

# #請求中傳遞令牌

有幾種方法可以將API 令牌傳遞給你的應用程式。我們將在使用 Guzzle HTTP 庫演示其用法時去討論這些方法。你可以根據應用程式的需要選擇其中的任何方法。

請求參數

你的應用程式的API 使用者可以將其令牌作為

api_token 查詢字串值:

$response = $client->request('GET', '/api/user?api_token='.$token);

請求負載

應用程式的API 使用者可以在請求的表單參數中以

api_token 的形式包含其API 令牌:

$response = $client->request('POST', '/api/user', [  
     'headers' => [     
        'Accept' => 'application/json', 
       ],    
     'form_params' => [    
         'api_token' => $token,  
        ],
  ]);

Bearer 令牌

應用程式的API 使用者可以在要求的 

Authorization 頭中提供其API 令牌作為Bearer令牌:

$response = $client->request('POST', '/api/user', [ 
   'headers' => [    
       'Authorization' => 'Bearer '.$token,        
       'Accept' => 'application/json',   
      ],
 ]);

本篇文章首發在
LearnKu.com 網站上。