一文介绍Laravel中Token的实现机制-Laravel-PHP中文网

首页

php框架

Laravel

一文介绍Laravel中Token的实现机制

PHPz

Apr 23, 2023 am 09:13 AM

Laravel是一个使用PHP编程语言开发的Web应用框架，它的卓越表现得益于其内部集成大量功能强大的扩展包。其中就包括了Token的底层实现。Token，即令牌，是Web应用程序常用的一种身份验证方式，通常用于保护API和Web服务免受非法访问。在这篇文章中，我们将介绍Laravel中Token的实现机制。

一、令牌的概念

Token，顾名思义，就是指一种令牌，是一种标记，可以代表某种身份信息或者授权信息。它通常由服务器产生并发放给客户端，客户端收到令牌后将其存放在本地，在后续请求时加入请求头或者请求参数中，作为身份验证或授权的标识。服务器通过检查令牌是否有效，就可以确定请求是否具有身份验证或者授权信息。

令牌的使用能够更有效地保护Web应用免受未经授权的访问，尤其是在API和Web服务中，令牌是必不可少的。

二、 Laravel Token的实现

Laravel作为一款优秀的Web应用框架，在其内置的Auth功能中提供了Token的支持。在Laravel中，Token的实现使用了Laravel Sanctum这个扩展包。

2.1 Laravel Sanctum

Laravel Sanctum是一款轻量级的身份验证包，可以为Laravel应用程序提供API身份验证，基于API秘钥或者Token，让应用程序更好的运行在无状态环境中，如SPA应用程序、单页应用程序和移动应用程序等。Laravel Sanctum提供了以下功能：

无需配置即可开始使用；
支持使用session、Token以及API秘钥等多种身份验证方式；
内置了多种身份验证的实现，如cookie、Token、auth等；
提供了方便的身份验证和Token生成；
更好的自定义身份验证流程。

2.2 Token的实现原理

在Laravel Sanctum中，Token的实现原理与session实现原理类似。在请求中，客户端向服务器发出请求时，将Token作为请求参数或Header中的Authorization字段发送给服务器。服务器在检查Token是否有效，并在有效期内，给予请求操作的权限或者返回错误信息。Token的实现流程如下：

创建Token：当用户登录时，Sanctum将为该用户生成一个随机的Token，并将该Token保存在后台数据库中；
发送Token：将Token作为请求参数或者Header中的Authorization字段发送给服务器；
Token验证：在服务器端，Sanctum将检查接收到的Token是否有效，并决定授权或拒绝；
Tokens管理：Sanctum提供了一系列API来创建、撤销、查找和验证Token。

三、 Laravel Token的使用

Sanctum提供了方便易用的API来使用Token，包括Token的创建、撤销、查找和验证等。下面是Token的使用方式：

3.1 安装 Sanctum

在应用程序中，首先需要将Sanctum的依赖包引入到应用的composer.json文件：

composer require laravel/sanctum

安装完成后，需要在config/app.php文件中添加如下配置：

'providers' => [ 
    // Other service providers... 
    Laravel\Sanctum\SanctumServiceProvider::class, 
],

3.2 发布配置

在安装完成后，需要运行以下命令来发布Sanctum的配置文件：

php artisan vendor:publish --provider="Laravel\Sanctum\SanctumServiceProvider"

3.3 配置Middleware

在使用Sanctum时，需要在对应的路由中添加中间件。在Laravel中，已经内置了API认证的中间件，可以直接调用。

3.4 创建Token

在登录后，可以使用如下代码来为当前用户创建Token：

use Illuminate\Http\Request; 
use Illuminate\Support\Facades\Hash; 
use Illuminate\Validation\ValidationException; 
use App\Models\User; 
use Illuminate\Support\Facades\Auth; 
use Illuminate\Support\Facades\Route; 

// 创建Token 
Route::post('/api/token/create', function (Request $request) { 
    $request->validate([ 
        'email' => 'required|email', 
        'password' => 'required', 
    ]); 

    $user = User::where('email', $request->email)->first(); 

    if (! $user || ! Hash::check($request->password, $user->password)) { 
        throw ValidationException::withMessages([ 
            'email' => ['The provided credentials are incorrect.'], 
        ]); 
    } 

    return $user->createToken($request->header('User-Agent'))->plainTextToken; 
});

在上面的代码中，可以看到在创建Token时，使用机器的User-Agent作为额外的参数。这里的User-Agent是一个HTTP头，记录了浏览器或应用程序的相关信息。这个信息将作为Token的一部分，使得Token一旦被盗用或者恶意使用，可以很容易地发现和撤销。

3.5 撤销Token

创建的Token一旦被盗用或者失效，可以使用如下代码撤销：

Auth::user()->tokens()->delete();

3.6 验证扩展

Sanctum还提供了良好的验证扩展，可以方便地进行访问控制，代码如下：

use Illuminate\Http\Request; 
use Illuminate\Support\Facades\Hash; 
use Illuminate\Validation\ValidationException; 
use App\Models\User; 
use Illuminate\Support\Facades\Auth; 
use Illuminate\Support\Facades\Route; 
use Laravel\Sanctum\HasApiTokens;

class User extends Authenticatable 
{
    use HasApiTokens, Notifiable;
}

使用上述代码之后，我们就可以在User模型中使用can接口来进行访问控制，代码如下：

$request->user()->can('update', $post);

在上面的代码中，can将根据当前用户的角色、权限和策略，判断用户是否有权进行更新操作。需要注意的是，用户需要正确实现自己的访问控制逻辑。

四、总结

在本文中，我们介绍了Laravel中Token的底层实现机制，尤其是使用Sanctum扩展包的方式。Sanctum提供了方便易用的API，能够快速集成到应用程序中，并提高应用程序的安全性。Token的使用方式、创建、撤销和管理，以及访问控制等方面均进行了详细的讲解。

在今天的互联网世界中，随着API和Web服务的广泛应用，Token作为一种身份验证方式，将在很多应用程序中得到更加广泛的应用。Laravel框架提供了良好的Token实现机制，可以更好地保护Web应用免受非法访问。

以上是一文介绍Laravel中Token的实现机制的详细内容。更多信息请关注PHP中文网其他相关文章！

声明

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

最新的Laravel版本是什么？May 09, 2025 am 12:09 AM

截至2023年10月，Laravel的最新版本是10.x。1.Laravel10.x支持PHP8.1，提升了开发效率。2.Jetstream改进支持Livewire和Inertia.js，简化前端开发。3.EloquentORM增加全文搜索功能，提升数据处理性能。4.使用时需注意依赖包兼容性，并应用缓存优化性能。

Laravel迁移：数据库管理初学者指南May 09, 2025 am 12:07 AM

laravelmigrationsStreamLinedAtabasemagementbyByProvideversionControlforyourDatabaseschema.1）他们alloweryoutodefineandsharethertherteructureofyourdatabase，MakeiteAsyTomanageChangEsovertime.2）MigrationalageChangangeSovertime.2）MigrationScancanbeccanCanbeCreateDandRunusingsImplecommands，EnsurnistateTapeve

Laravel迁移：最佳编码指南May 09, 2025 am 12:03 AM

Laravel的迁移系统是开发者进行数据库设计和管理的强大工具。1)确保迁移文件命名清晰明了，使用动词描述操作。2)考虑数据完整性和性能，如为字段添加唯一约束。3)使用事务处理确保数据库一致性。4)在迁移最后创建索引以优化性能。5)保持迁移的原子性，每个文件只包含一个逻辑操作。通过这些实践，可以编写高效、可维护的迁移代码。

最新的Laravel版本：与最新功能保持最新May 09, 2025 am 12:03 AM

Laravel的最新版本是10.x，发布于2023年初。该版本带来增强的EloquentORM功能和简化的路由系统，提升了开发效率和性能，但升级时需谨慎测试以防引入问题。

掌握Laravel软删除：最佳实践和高级技术May 08, 2025 am 12:25 AM

laravelsoftdeletesallow“删除” withoutremovingRecordSssfromtheDatabase.toimplement：1）usethesoftdeletdeleterationyourmodel.2）usewithtrashed（）toincludesoft-deletedrecordsinquordsinquordsinquordsinquordsinquordsinquordsinquordsinquordsinquordsinquordsinquor sinecustomscopemscopemscopeslikeonlikeOnlikeOnlikeOnlikeOnlikeNiqueniendselline）

Laravel软删除：恢复和永久删除记录May 08, 2025 am 12:24 AM

在Laravel中，恢复被软删除的记录使用restore()方法，永久删除使用forceDelete()方法。1)恢复单个记录使用withTrashed()->find()->restore()，多个记录使用onlyTrashed()->restore()。2)永久删除单个记录使用withTrashed()->find()->forceDelete()，多个记录使用onlyTrashed()->forceDelete()。

当前的Laravel版本：今天下载和升级！May 08, 2025 am 12:22 AM

你应该下载并升级到最新的Laravel版本，因为它提供了增强的EloquentORM功能和新的路由特性，这些更新可以提高应用程序的效率和安全性。要升级，请按照以下步骤：1.备份当前应用程序，2.更新composer.json文件至最新版本，3.运行更新命令。虽然可能会遇到一些常见问题，如废弃函数和包兼容性，但通过参考文档和社区支持，这些问题都可以解决。

Laravel：我什么时候应该更新到最后一个版本？May 08, 2025 am 12:18 AM

youshouldupdateTothelateStlaravelversionwhentheBeneFitsClearlyOutweighTheCosts.1）newfeaturesandimprovementCanenhanceCarenHanceYourApplication.2）SecurityUpdatesArecrucialifvulnerabilitysareaddresse.3）

See all articles