Laravel Sanctum 是一个 Laravel 框架官方推荐的轻量级用户认证库,它旨在为单页面应用程序(SPA)和移动应用程序提供简单而现代的身份验证。本文将介绍如何使用 Laravel Sanctum 实现 SPA 应用的安全认证。
一、安装 Laravel
首先需要安装 Laravel,可以通过 composer 安装最新版本的 Laravel:
composer create-project --prefer-dist laravel/laravel your-project-name
二、配置 Sanctum
安装好 Laravel 之后需要进行 Sanctum 的配置,请先执行以下命令:
composer require laravel/sanctum
在 Laravel 5.5 以下版本中,需要在 config/app.php 文件中添加服务提供者和门面:
'providers' => [
... LaravelSanctumSanctumServiceProvider::class,
],
'aliases' => [
... 'Sanctum' => LaravelSanctumSanctum::class,
],
在 Laravel 5.5 及以上版本中,无需手动添加服务提供者或门面。
接着需要执行数据库迁移以创建 Sanctum 所需的表:
php artisan migrate
如果您的应用程序需要使用 SPA 身份验证,则应在 config/cors.php 文件中添加您的应用程序域和信任的域。在下面的示例中,我们假设您正在构建一个具有前端应用程序的后端 API:
'paths' => ['api/*', 'sanctum/csrf-cookie'],
'allowed_methods' => ['*'],
'allowed_origins' => ['http://your-app-url.com'],
'allowed_origins_patterns' => [],
'allowed_headers' => ['*'],
'exposed_headers' => false,
'max_age' => false,
'supports_credentials' => true,
三、创建 API 和认证控制器
在 resources/views 中创建一个 index.blade.php 文件,用于显示 SPA 界面。
在 routes/api.php 中编写 API 路由。我们这里创建一个测试路由,返回当前认证用户的用户信息:
Route::middleware('auth:sanctum')->get('/user', function (Request $request) {
return $request->user();
});
接下来,我们需要添加一个特定于 SPA 应用程序的控制器,以创建和管理 Sanctum 令牌。这个控制器负责创建令牌并为用户签发身份验证 cookie。
首先在 app/Http/Controllers 文件夹中创建一个 API 控制器,例如 AuthController:
php artisan make:controller API/AuthController
然后在 AuthController 中添加 register 和 login 方法:
public function register(Request $request)
{
$request->validate([ 'name' => 'required|string|max:255', 'email' => 'required|string|email|unique:users|max:255', 'password' => 'required|string|min:8|confirmed' ]); $user = new User([ 'name' => $request->name, 'email' => $request->email, 'password' => Hash::make($request->password) ]); $user->save(); return response()->json([ 'message' => 'Successfully registered' ], 201);
}
public function login(Request $request)
{
$request->validate([ 'email' => 'required|string|email', 'password' => 'required|string', 'remember_me' => 'boolean' ]); $credentials = request(['email', 'password']); if (!Auth::attempt($credentials)) { return response()->json([ 'message' => 'Unauthorized' ], 401); } $user = $request->user(); $tokenResult = $user->createToken('Personal Access Token'); $token = $tokenResult->token; if ($request->remember_me) { $token->expires_at = Carbon::now()->addWeeks(1); } $token->save(); return response()->json([ 'access_token' => $tokenResult->accessToken, 'token_type' => 'Bearer', 'expires_at' => Carbon::parse( $tokenResult->token->expires_at )->toDateTimeString() ]);
}
四、处理身份验证
现在,您已经拥有了创建 Token、用户注册和用户登录的所有必要代码,下面我们将开始构建身份验证过程。
SPA 应用程序使用 Sanctum 发送 POST 请求,通过 email 和 password 参数验证用户凭据。如果验证成功,则应用程序将接收到 OAuth Token。
使用 SPA 应用程序时,在 headers 中添加 Authorization: Bearer d6fb5a6237ab04b68d3c67881a9080fa,可以通过应用程序路由访问受保护的 API。
完成身份验证后,您可以通过 Sanctum 使用身份验证路由获得当前身份验证用户的信息。例如,我们可以使用以下代码检索当前身份验证用户的名称:
Route::middleware('auth:sanctum')->get('/user', function (Request $request) {
return $request->user()->name;
});
五、创建相关页面和组件
务必确保您的 Laravel 入口点文件中包含必要的 JavaScript 库(这里使用 Vue.js、Vue Router 和 Axios)。在 resources/js/app.js 文件中,定义 Vue 组件:
require('./bootstrap');
import Vue from 'vue';
import App from './views/App';
import router from './router';
import store from './store';
Vue.component('App', App);
const app = new Vue({
el: '#app', router, store
});
创建资源文件夹 views 和 views/App.vue,添加必要的组件(登录表单、注册表单等)。在 views 文件夹中创建需要的所有页面组件。
这里为了演示方便,代码量略多,请自行查阅 Laravel 官方文档。
六、重构 API 路由和 AckController
更新 API 路由,将 SPA 路由映射到 AckController,同时确保中间件将使用 Sanctum 配置:
Route::middleware('auth:sanctum')->get('/user', function (Request $request) {
return $request->user();
});
Route::post('/register', 'APIAuthController@register');
Route::post('/login', 'APIAuthController@login');
Route::middleware('auth:sanctum')->get('/spa/{any}', function () {
return view('index');
})->where('any', '.*');
我们在 AckController 中添加 forgotPassword 及 resetPassword 方法,用于处理用户忘记密码以及响应密码重置链接的请求:
public function forgotPassword(Request $request)
{
$request->validate(['email' => 'required|email']); $user = User::where('email', $request->email)->first(); if (!$user) { return response()->json([ 'message' => 'We could not find your account' ], 404); } else { $user->sendPasswordResetNotification($request->email); } return response()->json([ 'message' => 'We have e-mailed your password reset link!' ]);
}
public function resetPassword(Request $request)
{
$request->validate([ 'email' => 'required|email', 'token' => 'required|string', 'password' => 'required|string|confirmed|min:8' ]); $resetPasswordStatus = Password::reset($request->only('email', 'password', 'password_confirmation', 'token'), function ($user, $password) { $user->forceFill([ 'password' => Hash::make($password) ])->save(); }); if ($resetPasswordStatus === Password::INVALID_TOKEN) { return response()->json(['message' => 'The reset token is invalid']); } return response()->json(['message' => 'Your password has been updated']);
}
七、添加路由
在 Laravel Sanctum 中,需要配置路由以启用身份验证、CSRF 保护和差错保护,使用 groban/laravel-livewire 实现 SPA 应用的路由。
八、运行 SPA 应用程序
完成以上步骤后,我们可以使用以下命令运行 SPA 应用程序:
npm run dev
在浏览器中打开运行的设备上的主机 IP 地址或 URL 来查看 SPA 应用程序。
最后,我们已经成功地使用 Laravel Sanctum 实现了SPA应用的安全认证。通过这种方法,可以确保应用程序数据的安全,防止未经授权的访问和保护私有信息。
以上是PHP开发:使用 Laravel Sanctum 实现 SPA 应用安全认证的详细内容。更多信息请关注PHP中文网其他相关文章!