Laravel jwt 다중 테이블 검증 격리

왜 격리해야 하나요?

동일한 laravel 프로젝트에 여러 터미널(모바일 터미널, 관리 터미널...)이 있고 모두 사용자 확인을 위해 jwt를 사용해야 하는 경우, 사용자 테이블이 여러 개인 경우(보통 ), 토큰 격리를 수행해야 합니다. 그렇지 않으면 모바일 단말 토큰이 관리 단말에 요청할 수도 있어 사용자가 자신의 권한을 초과하는 문제가 발생할 수 있습니다.

이 문제가 발생하는 이유는 laravel의 jwt 토큰은 기본적으로 데이터 테이블의 기본 키 값만 저장하고 어떤 테이블인지 구분하지 않기 때문입니다. 따라서 토큰에 포함된 ID가 사용자 테이블에 존재하는 한 무단 확인으로 이어질 수 있습니다.

laravel의 jwt 토큰의 원래 모습을 살펴보겠습니다.

{
    "iss": "http://your-request-url",
    "iat": 1558668215,
    "exp": 1645068215,
    "nbf": 1558668215,
    "jti": "XakIDuG7K0jeWGDi",
    "sub": 1,
    "prv": "92d5e8eb1b38ccd11476896c19b0e44512b2aacd"
}

데이터를 전달하는 하위 필드가 하위 필드이고, 다른 필드는 jwt의 검증 필드입니다.

sub의 값이 1이라는 것만 알 수 있으며, 어느 테이블이나 유효성 검사기에 속하는지는 나타내지 않습니다. 이 토큰이 확인 미들웨어를 통과하면 다양한 가드를 사용하여 사용자에게 해당 테이블 ID 1을 가져올 수 있습니다(가드에 대해 알아보려면 laravel 문서를 확인하세요).

해결책

사용자의 과도한 접근 문제를 해결하려면 토큰에 사용자 정의 필드를 가져와서 생성한 테이블이나 유효성 검사기를 구별한 다음 자체 미들웨어를 작성하여 사용자 정의 필드가 기대에 부합하는지 확인하면 됩니다.

토큰에 사용자 정의 정보 추가

jwt 확인을 사용하려면 사용자 모델이 JWTSubject의 인터페이스를 구현해야 한다는 것을 알고 있습니다(코드는 jwt 문서에서 가져옴).

<?php

namespace App;

use Tymon\JWTAuth\Contracts\JWTSubject;
use Illuminate\Notifications\Notifiable;
use Illuminate\Foundation\Auth\User as Authenticatable;

class User extends Authenticatable implements JWTSubject
{
    use Notifiable;

    // Rest omitted for brevity

    /**
     * Get the identifier that will be stored in the subject claim of the JWT.
     *
     * @return mixed
     */
    public function getJWTIdentifier()
    {
        return $this->getKey();
    }

    /**
     * Return a key value array, containing any custom claims to be added to the JWT.
     *
     * @return array
     */
    public function getJWTCustomClaims()
    {
        return [];
    }
}

이 두 가지 방법의 효과를 볼 수 있습니다 구현:

getJWTIdentifier: jwt 문에 저장될 식별자를 가져옵니다. 실제로 사용자 테이블을 식별하는 기본 키 필드 이름을 반환해야 합니다.
getJWTCustomClaims: jwt 문에 추가할 정보를 반환합니다. 사용자 정의 키-값 쌍의 배열은 사용자 정의 정보가 추가되지 않은 채 여기에 반환됩니다.

다음으로 getJWTCustomClaims 메소드를 구현하는 사용자 모델에 사용자 정의 정보를 추가할 수 있습니다.

관리자 모델:

/**
 * 额外在 JWT 载荷中增加的自定义内容
 *
 * @return array
 */
public function getJWTCustomClaims()
{
    return ['role' => 'admin'];
}

모바일 사용자 모델:

/**
 * 额外在 JWT 载荷中增加的自定义内容
 *
 * @return array
 */
public function getJWTCustomClaims()
{
    return ['role' => 'user'];
}

여기에는 역할 이름이 사용자 ID로 추가됩니다.

관리자가 생성한 토큰은 다음과 같습니다.

{
    "iss": "http://your-request-url",
    "iat": 1558668215,
    "exp": 1645068215,
    "nbf": 1558668215,
    "jti": "XakIDuG7K0jeWGDi",
    "sub": 1,
    "prv": "92d5e8eb1b38ccd11476896c19b0e44512b2aacd",
    "role": "admin"
}

모바일 사용자가 생성한 토큰은 다음과 같습니다.

{
    "iss": "http://your-request-url",
    "iat": 1558668215,
    "exp": 1645068215,
    "nbf": 1558668215,
    "jti": "XakIDuG7K0jeWGDi",
    "sub": 1,
    "prv": "92d5e8eb1b38ccd11476896c19b0e44512b2aacd",
    "role": "user"
}

우리가 직접 추가한 추가 역할 필드가 있는 것을 볼 수 있으며 이는 다음에 해당합니다. 우리의 사용자 모델.

다음으로, 토큰을 파싱한 후 우리가 원하는 역할인지 판단하고, 일치하지 않으면 401을 보고합니다.

JWT 역할 확인 미들웨어 작성

전 세계적으로 사용 가능한 미들웨어는 다음과 같습니다(사용자 확인 미들웨어 이전에 사용하는 것이 좋습니다).

<?php
/**
 * Created by PhpStorm.
 * User: wlalala
 * Date: 2019-04-17
 * Time: 13:55
 */

namespace App\Http\Middleware;

use Closure;
use Symfony\Component\HttpKernel\Exception\UnauthorizedHttpException;
use Tymon\JWTAuth\Exceptions\JWTException;
use Tymon\JWTAuth\Http\Middleware\BaseMiddleware;

class JWTRoleAuth extends BaseMiddleware
{
    /**
     * Handle an incoming request.
     *
     * @param $request
     * @param Closure $next
     * @param null $role
     * @return mixed
     */
    public function handle($request, Closure $next, $role = null)
    {
        try {
            // 解析token角色
            $token_role = $this->auth->parseToken()->getClaim('role');
        } catch (JWTException $e) {
            /**
             * token解析失败，说明请求中没有可用的token。
             * 为了可以全局使用（不需要token的请求也可通过），这里让请求继续。
             * 因为这个中间件的责职只是校验token里的角色。
             */
            return $next($request);
        }

        // 判断token角色。
        if ($token_role != $role) {
            throw new UnauthorizedHttpException('jwt-auth', 'User role error');
        }

        return $next($request);
    }
}

jwt 역할 확인 미들웨어를 등록하세요

app/Http/Kernel에서 미들웨어를 등록하세요:

    /**
     * The application's route middleware.
     *
     * These middleware may be assigned to groups or used individually.
     *
     * @var array
     */
    protected $routeMiddleware = [
        // ...省略 ...

        // 多表jwt验证校验
        'jwt.role' => \App\Http\Middleware\JWTRoleAuth::class,
    ];

. jwt 역할 확인 미들웨어 사용

다음으로 사용자 확인이 필요한 라우팅 그룹에 미들웨어를 추가합니다.

Route::group([
    'middleware' => ['jwt.role:admin', 'jwt.auth'],
], function ($router) {
    // 管理员验证路由
    // ...
});

Route::group([
    'middleware' => ['jwt.role:user', 'jwt.auth'],
], function ($router) {
    // 移动端用户验证路由
    // ...
});

이로써 jwt 다중 테이블 사용자 확인 격리가 완료됩니다.

더 많은 Laravel 관련 기술 기사를 보려면

Laravel Tutorial 칼럼을 방문하여 알아보세요!

위 내용은 Laravel jwt 다중 테이블 검증 격리의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!