Laravel开发:如何使用Laravel Passport和JWT实现API身份验证?
API(Application Programming Interface)身份验证,是在当今互联网应用中普遍存在的需求。Laravel作为一款流行的PHP框架,提供了Laravel Passport和JWT(JSON Web Tokens)两种工具,可以帮助我们实现API身份验证。
本文将介绍如何使用Laravel Passport和JWT实现API身份验证。在接下来的内容中,我们将了解这两种工具的基本概念,以及如何在Laravel应用中配置和使用它们。
什么是Laravel Passport?
Laravel Passport是一个专门为Laravel框架开发的OAuth2服务器,可以帮助我们快速安全地构建API身份验证系统。Passport提供了一组API来执行认证流程,并且已经内部实现了一系列OAuth2协议规定的认证方式。
其中,OAuth2是一种使用代理授权方式的标准协议。代理授权是一个为代表用户获取访问资源的权限的授权机制。OAuth2协议通过向第三方应用颁发“访问令牌”,来代表用户访问受保护的资源。所以,Passport实际上是在Laravel应用中扮演着OAuth2认证服务器的角色。
什么是JWT?
JWT(JSON Web Tokens)是一种用于分布式网络环境中的身份验证和授权的开放标准(RFC 7519)。JWT通常被用来在客户端和服务端之间传递被认证的用户身份信息和声明。JWT由三部分组成:头部、载荷和签名。
通常,头部包含了JWT的类型和使用的加密算法,载荷包含了用户身份信息和声明,签名用于验证JWT的真实性。使用JWT进行身份验证时,服务端通过解密JWT中的信息来判断用户身份,从而实现API身份验证。
配置Laravel Passport和JWT
在使用Laravel Passport和JWT进行API身份验证前,我们需要先在Laravel应用中进行配置。下面是具体配置步骤:
步骤一:安装Laravel Passport和tymon/jwt-auth
在命令行工具中使用composer安装Laravel Passport和tymon/jwt-auth:
composer require laravel/passport composer require tymon/jwt-auth
步骤二:配置Laravel Passport
在config/app.php文件中,添加以下服务提供者:
'providers' => [
...
LaravelPassportPassportServiceProvider::class,
],然后,运行以下命令来创建Passport的数据表:
php artisan migrate
对于Passport的默认认证方式“Password Grant”,我们在User模型中增加“PassportHasApiTokens”(Passport默认的用户认证Trait)。打开User.php文件,增加以下内容:
use LaravelPassportHasApiTokens;
class User extends Authenticatable
{
use HasApiTokens, Notifiable;
...
}步骤三:配置JWT
首先,在config/app.php文件中,添加JWTServiceProvider:
'providers' => [
...
TymonJWTAuthProvidersLaravelServiceProvider::class,
],然后,运行以下命令来生成JWT所需的秘钥:
php artisan jwt:secret
在config/auth.php文件中,增加jwt守卫配置(将jwt作为守卫guard的选项),并将默认的认证驱动器driver设置为“jwt”:
'guards' => [
...
'jwt' => [
'driver' => 'jwt',
'provider' => 'users'
],
],
...
'defaults' => [
'guard' => 'jwt',
...
],在config/auth.php文件中,增加JWT的用户提供程序users配置(指示使用Eloquent模型):
'providers' => [
...
'users' => [
'driver' => 'eloquent',
'model' => AppModelsUser::class
]
],使用Laravel Passport和JWT进行API身份验证
准备工作完成后,我们就可以愉快地使用Laravel Passport和JWT实现API身份验证了。下面是具体操作流程:
步骤一:注册API路由
首先,在routes/api.php文件中注册API路由。例如,我们定义一个用于获取用户信息的GET路由:
Route::middleware('auth:api')->get('/user', function (Request $request) {
return $request->user();
});这里使用了Laravel的中间件auth:api,它将确保已认证用户的请求能够通过。通过路由中间件,我们在路由中添加了身份验证的这个步骤。
步骤二:创建访问令牌
用户需要通过访问令牌来访问API。我们需要使用密码授权访问令牌,具体实现步骤如下:
需要先定义一个路由,接收用户提供的用户名和密码:
Route::post('/login', function (Request $request) {
$http = new GuzzleHttpClient;
$response = $http->post('http://your-app.com/oauth/token', [
'form_params' => [
'grant_type' => 'password',
'client_id' => 'client-id',
'client_secret' => 'client-secret',
'username' => $request->username,
'password' => $request->password,
'scope' => '',
],
]);
return json_decode((string) $response->getBody(), true);
});在上述代码中,我们使用了GuzzleHttp客户端来发送POST请求,获取访问令牌。其中,grant_type必须是“password”,client_id和client_secret分别对应Laravel Passport中应用的ID和Secret。请求成功后,将返回一个JSON响应,其中包含用户访问API的访问令牌access_token。
步骤三:发起API请求
我们可以使用获取到的令牌access_token,向API发送请求,验证用户身份,并获取受保护的资源。在向API发起请求时,必须在header中增加Authorization键值对,其值为“Bearer access_token”。例如:
$accessToken = 'your-access-token';
$response = $http->withHeaders([
'Authorization' => 'Bearer ' . $accessToken
])->get('http://your-app.com/api/user');如果请求成功,API将返回用户信息。
结论
在Laravel应用中,Laravel Passport提供了强大的OAuth2身份验证协议和API认证功能,而JWT是一种安全便捷的身份验证方式。在实际开发中,我们可以结合使用Laravel Passport和JWT,提高API的安全性和可靠性,保护用户数据不被恶意攻击者所窃取或篡改。
