API 认证

简介

默认情况下,Laravel 通过为应用中的每个用户分配一个随机的令牌这种方式提供了一个非常简单的 API 认证解决方案。在配置文件 config/auth.php 中,默认已经定义了一个 api 守卫(guard)并且对应的驱动是 token。该驱动负责检查进入应用的请求上的 API 令牌,并验证是否与分配给用户的令牌值相同(分配给用户的令牌一般存储在数据库中)。

注:尽管 Laravel 提供了上面这个简单的、基于令牌的 API 认证,我们还是强烈推荐你在生产环境中使用基于 Laravel Passport 实现的 API 认证。

配置

数据库准备

使用 token 驱动前,需要创建一个迁移用来添加 api_token 字段到 users 数据表:

Schema::table('users', function ($table) {
    $table->string('api_token', 80)->after('password')
                        ->unique()
                        ->nullable()
                        ->default(null);
});

迁移文件创建之后,运行 Artisan 命令 php artisan migrate 让其生效。

注:如果你选择使用不同的字段名,确保更新了配置文件 config/auth.php 中的 storage_key 配置项。

生成令牌

api_token 字段添加到 users 数据表之后,就可以分配随机的 API 令牌给每个注册用户了。你需要在用户注册期间 User 模型创建之际分配这些令牌。如果你使用的是 laravel/ui 扩展包提供的认证脚手架代码,该操作可以在 RegisterController 控制器的 create 方法中完成:

use Illuminate\Support\Str;
use Illuminate\Support\Facades\Hash;

/**
 * Create a new user instance after a valid registration.
 *
 * @param  array  $data
 * @return \App\User
 */
protected function create(array $data)
{
    return User::create([
        'name' => $data['name'],
        'email' => $data['email'],
        'password' => Hash::make($data['password']),
        'api_token' => Str::random(60),
    ]);
}

对令牌进行哈希操作

在上述例子中,API 令牌以明文方式存储在数据库里,如果你想要使用诸如 SHA-256 哈希算法计算令牌的哈希值之后再存储,可以在配置文件 config/auth.php 中的 api 配置项中设置 hash 值为 true 来实现:

'api' => [
    'driver' => 'token',
    'provider' => 'users',
    'hash' => true,
],

生成哈希令牌

如果要使用哈希后的 API 令牌,就不要在用户注册期间生成 API 令牌。取而代之,你需要在应用中实现自己的 API 令牌管理页面,这个页面应该可以允许用户初始化和刷新他们自己的 API 令牌。当一个用户发起一个初始化或刷新令牌的请求时,后台需要在数据库中保存这个令牌的哈希值备份,并返回令牌的原始值到视图/前台客户端做一次性展示。

举个例子,用于为给定用户初始化/刷新令牌并返回令牌原始值 JSON 响应的控制器方法应该像下面这段代码这样:

<?php

namespace App\Http\Controllers;

use Illuminate\Support\Str;
use Illuminate\Http\Request;

class ApiTokenController extends Controller
{
    /**
     * Update the authenticated user's API token.
     *
     * @param  \Illuminate\Http\Request  $request
     * @return array
     */
    public function update(Request $request)
    {
        $token = Str::random(60);

        $request->user()->forceFill([
            'api_token' => hash('sha256', $token),
        ])->save();

        return ['token' => $token];
    }
}

注:由于上面这个例子中的 API 令牌有足够的熵,创建「彩虹表」来暴力查找哈希令牌的原始值基本是徒劳的,所以也就不需要使用类似于 bcrypt 这种哈希方法。

路由保护

Laravel 内置了可以自动验证输入请求中的 API 令牌的认证守卫,你只需要在需要验证访问令牌的路由上应用 auth:api 中间件即可:

use Illuminate\Http\Request;

Route::middleware('auth:api')->get('/user', function(Request $request) {
    return $request->user();
});

在请求中传递令牌

有多种方式传递 API 令牌到应用,下面我们将一一介绍并通过 Guzzle HTTP 库来演示它们的使用。你可以基于自己的需求选用其中任何一种方式。

查询字符串

应用的 API 消费者可以通过 api_token 查询字符串指定他们的令牌值:

$response = $client->request('GET', '/api/user?api_token='.$token);

表单请求数据

应用的 API 消费者还可以在请求表单参数中通过 api_token 字段引入 API 令牌:

$response = $client->request('POST', '/api/user', [
    'headers' => [
        'Accept' => 'application/json',
    ],
    'form_params' => [
        'api_token' => $token,
    ],
]);

Bearer Token

最后,应用的 API 消费者还可以在请求的 Authorization 头中以 Bearer 令牌的方式提供他们的 API 令牌值:

$response = $client->request('POST', '/api/user', [
    'headers' => [
        'Authorization' => 'Bearer '.$token,
        'Accept' => 'application/json',
    ],
]);

相关文章推荐:

上一篇: 登录认证

下一篇: 授权