Laravel Passport (None)
Laravel Passport 是 Laravel 框架提供的一个强大的 OAuth2 服务器实现,用于构建 API 认证系统。在某些场景下,我们可能不需要使用完整的 Passport 功能,或者希望使用更简单的认证方式。介绍如何在 Laravel 中实现一个简单的 API 认证方案,而不使用 Passport。
解决方案
在不需要复杂 OAuth2 认证的情况下,我们可以使用 Laravel 自带的 API Token 认证机制。这种机制简单易用,适合小型项目或内部 API 的认证需求。通过生成和验证 API Token,我们可以确保 API 请求的安全性。
使用 API Token 进行认证
1. 创建 API Token 字段
我们需要在用户表中添加一个 api_token 字段,用于存储用户的 API Token。
php
// 在 User 模型中添加 api<em>token 字段
public function up()
{
Schema::table('users', function (Blueprint $table) {
$table->string('api</em>token', 80)->after('password')
->unique()
->nullable()
->default(null);
});
}</p>
<p>public function down()
{
Schema::table('users', function (Blueprint $table) {
$table->dropColumn('api_token');
});
}
运行迁移命令:
bash
php artisan migrate
2. 生成 API Token
接下来,我们需要在用户注册或登录时生成 API Token,并将其保存到数据库中。
php
// 在 UserController 中生成 API Token
use IlluminateSupportStr;</p>
<p>public function register(Request $request)
{
$validated = $request->validate([
'name' => 'required|string|max:255',
'email' => 'required|string|email|max:255|unique:users',
'password' => 'required|string|min:8',
]);</p>
<pre><code>$user = User::create([
'name' => $validated['name'],
'email' => $validated['email'],
'password' => Hash::make($validated['password']),
'api_token' => Str::random(60),
]);
return response()->json(['token' => $user->api_token], 201);
}
3. 验证 API Token
在 API 路由中,我们可以使用中间件来验证请求中的 API Token。
php
// 在 routes/api.php 中定义路由
Route::middleware('auth:api')->get('/user', function (Request $request) {
return $request->user();
});
创建一个中间件来验证 API Token:
php
// app/Http/Middleware/AuthenticateWithApiToken.php
namespace AppHttpMiddleware;</p>
<p>use Closure;
use IlluminateSupportFacadesAuth;</p>
<p>class AuthenticateWithApiToken
{
public function handle($request, Closure $next)
{
$token = $request->header('Authorization');</p>
<pre><code> if (Auth::guard('api')->onceUsingId($token)) {
return $next($request);
}
return response()->json(['error' => 'Unauthorized'], 401);
}
}
注册中间件:
php
// app/Http/Kernel.php
protected $routeMiddleware = [
// 其他中间件
'auth.api' => AppHttpMiddlewareAuthenticateWithApiToken::class,
];
4. 测试 API
使用 Postman 或其他工具测试 API:
- 发送 POST 请求到
/register注册用户并获取 API Token。 - 发送 GET 请求到
/user,并在请求头中添加Authorization: Bearer <your_api_token>。
其他思路
使用 JWT (JSON Web Tokens)
JWT 是一种广泛使用的 API 认证方式,它比 API Token 更加灵活和安全。Laravel 可以使用 tymon/jwt-auth 包来实现 JWT 认证。
- 安装
tymon/jwt-auth包:
bash
composer require tymon/jwt-auth
- 发布配置文件:
bash
php artisan vendor:publish --provider="TymonJWTAuthProvidersLaravelServiceProvider"
- 修改
config/auth.php配置文件,将apiguard 的 driver 改为jwt:
php
'guards' => [
'web' => [
'driver' => 'session',
'provider' => 'users',
],</p>
<pre><code>'api' => [
'driver' => 'jwt',
'provider' => 'users',
],
],
- 生成密钥:
bash
php artisan jwt:secret
- 创建控制器和路由来处理 JWT 认证:
php
// app/Http/Controllers/AuthController.php
namespace AppHttpControllers;</p>
<p>use IlluminateHttpRequest;
use TymonJWTAuthFacadesJWTAuth;
use TymonJWTAuthExceptionsJWTException;</p>
<p>class AuthController extends Controller
{
public function register(Request $request)
{
$validated = $request->validate([
'name' => 'required|string|max:255',
'email' => 'required|string|email|max:255|unique:users',
'password' => 'required|string|min:8',
]);</p>
<pre><code> $user = User::create([
'name' => $validated['name'],
'email' => $validated['email'],
'password' => Hash::make($validated['password']),
]);
$token = JWTAuth::fromUser($user);
return response()->json(['token' => $token], 201);
}
public function login(Request $request)
{
$credentials = $request->only('email', 'password');
try {
if (! $token = JWTAuth::attempt($credentials)) {
return response()->json(['error' => 'invalid_credentials'], 401);
}
} catch (JWTException $e) {
return response()->json(['error' => 'could_not_create_token'], 500);
}
return response()->json(['token' => $token]);
}
public function user(Request $request)
{
$user = JWTAuth::parseToken()->authenticate();
return response()->json($user);
}
}
- 定义路由:
php
// routes/api.php
Route::post('register', [AuthController::class, 'register']);
Route::post('login', [AuthController::class, 'login']);
Route::get('user', [AuthController::class, 'user'])->middleware('auth:api');
通过以上步骤,我们可以实现一个基于 JWT 的 API 认证系统,适用于更复杂的认证需求。
在不需要完整 OAuth2 功能的情况下,使用 Laravel 自带的 API Token 或 JWT 认证机制可以简化开发过程,提高安全性。根据项目的需求选择合适的认证方式,可以有效地保护 API 的安全性。
