Laravel 개발: Laravel Sanctum을 사용하여 API 인증을 구현하는 방법은 무엇입니까?

RESTful API의 인기와 애플리케이션의 광범위한 사용으로 인해 점점 더 많은 애플리케이션에 API 인증 및 승인이 필요하므로 API 보안은 오늘날 소프트웨어 개발에서 매우 중요한 측면이 되었습니다. Laravel Sanctum은 API 인증을 간단하고 안전하게 만들기 위해 설계된 Laravel 7.0과 함께 기본적으로 도입된 경량 인증 시스템입니다. 이번 글에서는 Laravel에서 Sanctum을 사용하여 API 보안을 보장하는 방법을 소개하겠습니다.

1. Laravel Sanctum 설치

시작하기 전에 Laravel 7.0+ 버전이 설치되었는지 확인해야 합니다. 그런 다음 작곡가를 사용하여 Laravel Sanctum 종속성을 설치할 수 있습니다:

composer require laravel/sanctum

Sanctum을 설치한 후 config/app.php 파일에 다음 코드를 추가합니다: config/app.php文件中加入以下代码：

'providers' => [
    // ...
    LaravelSanctumSanctumServiceProvider::class,
],

'aliases' => [
    //...
    'Sanctum' => LaravelSanctumSanctum::class,
]

这样，Laravel应用程序就已经使用了Sanctum提供的服务和功能。

2. 配置数据库

接下来，在执行数据库迁移之前，我们需要设置Sanctum的数据库表。 Larave lSanctum默认提供了一个包含以下字段的personal_access_tokens数据库表：

• id：令牌的唯一标识符
• tokenable_type：与令牌关联的模型的类名
• tokenable_id：与令牌关联的模型的ID
• name：令牌的名称
• token：API令牌的值
• abilities：令牌的授权

在创建personal_access_tokens表之前，我们需要先创建模型关系。可以通过在AuthServiceProvider中注册以下内容来完成：

use LaravelSanctumSanctum;
//...

public function boot()
{
    $this->registerPolicies(); 

    Sanctum::ignoreMigrations();

    Sanctum::actingAs( null, [
        'superuser'
    ]);
}

Sanctum::ignoreMigrations()用于阻止Laravel在artisan migrate命令中执行Sanctum的数据库迁移文件。但是，在大多数情况下，我们只是将其添加到数据库迁移文件的命令中。Sanctum::actingAs()还提供了一种仅用于开发的方法，该方法在没有用户身份验证的情况下模拟用户身份。

然后，我们需要运行以下命令来创建personal_access_tokens表：

php artisan migrate

3. 创建API令牌

Laravel Sanctum为我们提供了两种方式来为API生成令牌。一种是CreateToken方法，该方法可以创建一个或多个包含可选名称和授予权限的API令牌。这里我们介绍第二种方法，即使用hasApiTokens()函数配合createToken()函数：

// use the HasApiTokens trait within your User Model
use LaravelSanctumHasApiTokens;

class User extends Authenticatable
{
    use HasApiTokens, Notifiable;

    // ...
}

// create a Token with User ID and given Abilities
$personalAccessToken = $user->createToken('API Token', ['server:get','server:post']);

这里我们在用户模型中使用了HasApiTokensTrait，以便在用户模型中实现API令牌功能。我们使用createToken方法来创建一个API令牌，并在创建令牌时指定了一个可选的名称和授权的权限键。

4. 保护API路由

有了API密钥，我们就可以将其注入到每个请求中以进行身份验证。我们可以在Laravel的路由文件中使用sanctum中间件来保护API路由，以便验证请求中的令牌：

// A Group of API routes that require a valid Token
Route::group(['middleware' => 'auth:sanctum'], function () {
    Route::get('/user', function (Request $request) {
        return $request->user();
    });
});

在这段代码中，我们定义了一个包含验证sanctum中间件的路由组。 路由组中包含一条路由，该路由仅需要一个有效的Token才能访问。

5. 使用Bearer令牌

使用Bearer令牌是通过HTTP Authorization头来发送API令牌的最常见方法。可以通过在请求头中加入Authorization: Bearer {{$personalAccessToken->plainTextToken}}来授权令牌：

curl -H "Authorization: Bearer xxxxx" http://example.com/api/user

6. 撤销API令牌

最后，我们需要了解如何撤销API令牌。我们可以使用tokens()->delete()函数来删除某个用户的所有API令牌，或使用revoke()

$user->tokens()->delete();

$personalAccessToken->revoke();

이런 방식으로 Laravel 애플리케이션은 이미 Sanctum 서비스 및 제공되는 기능을 사용했습니다.

데이터베이스 구성
🎜다음으로, 데이터베이스 마이그레이션을 수행하기 전에 Sanctum의 데이터베이스 테이블을 설정해야 합니다. Larav lSanctum은 기본적으로 다음 필드를 포함하는 personal_access_tokens 데이터베이스 테이블을 제공합니다: 🎜

🎜id: 토큰의 고유 식별자 🎜🎜tokenable_type code >: 토큰과 연결된 모델의 클래스 이름 🎜🎜<code>tokenable_id: 토큰과 연결된 모델의 ID 🎜🎜name: 토큰의 이름 🎜 🎜 토큰: API 토큰의 값 🎜🎜능력: 토큰의 승인🎜

🎜 personal_access_tokens 테이블을 생성하기 전에 , 모델 우선 관계를 생성해야 합니다. 이는 AuthServiceProvider에 다음을 등록하여 수행할 수 있습니다. 🎜rrreee🎜Santum::ignoreMigrations()는 artisan migration에서 Laravel을 방지하는 데 사용됩니다. 명령 Sanctum의 데이터베이스 마이그레이션 파일을 실행합니다. 그러나 대부분의 경우 데이터베이스 마이그레이션 파일의 명령에 추가하기만 하면 됩니다. Santum::actingAs()는 사용자 인증 없이 사용자를 가장하는 개발 전용 메서드도 제공합니다. 🎜🎜그런 다음 personal_access_tokens 테이블을 생성하려면 다음 명령을 실행해야 합니다. 🎜rrreee

🎜API 토큰 생성 🎜🎜🎜Laravel Sanctum은 API를 사용하는 두 가지 방법을 제공합니다. 토큰을 생성합니다. 하나는 선택적 이름과 부여된 권한을 사용하여 하나 이상의 API 토큰을 생성하는 CreateToken 메서드입니다. 여기서는 createToken() 함수와 함께 hasApiTokens() 함수를 사용하는 두 번째 방법을 소개합니다. 🎜rrreee🎜여기에서는 HasApiTokensTrait를 사용하여 사용자 모델에서 API 토큰 기능을 구현합니다. <code>createToken 메소드를 사용하여 API 토큰을 생성하고 토큰 생성 시 선택적 이름과 승인된 권한 키를 지정합니다. 🎜
🎜API 경로 보안🎜🎜🎜API 키를 사용하면 모든 인증 요청에 이를 삽입할 수 있습니다. 요청의 토큰을 확인하기 위해 Laravel의 라우팅 파일에 있는 sanctum 미들웨어를 사용하여 API 경로를 보호할 수 있습니다: 🎜rrreee🎜 이 코드에서는 sanctum에 대한 유효성 검사 라우팅 그룹을 정의합니다. 미들웨어. 경로 그룹에는 액세스하는 데 유효한 토큰만 필요한 경로가 포함되어 있습니다. 🎜
🎜Bearer 토큰 사용 🎜🎜🎜Bearer 토큰을 사용하는 것은 HTTP Authorization 헤더를 통해 API 토큰을 보내는 가장 일반적인 방법입니다. Authorization: Bearer {{$personalAccessToken->plainTextToken}}를 요청 헤더에 추가하여 토큰을 승인할 수 있습니다: 🎜rrreee
🎜Revoke API token🎜🎜🎜 마지막으로 , API 토큰을 취소하는 방법을 이해해야 합니다. tokens()->delete() 함수를 사용하여 사용자의 모든 API 토큰을 삭제하거나 revoke() 함수를 사용하여 단일 API 토큰을 취소할 수 있습니다. :🎜rrreee🎜결론🎜🎜이제 API를 보호하기 위해 Sanctum 인증을 성공적으로 구현했습니다. Sanctum과 Laravel은 간단하면서도 강력한 API 인증을 제공하므로 개발자는 강력한 API 구축에 집중하고 비즈니스 로직에 중점을 둘 수 있습니다. Sanctum을 사용할 때 API의 인증 프로세스를 완전히 이해하고 애플리케이션에 대한 최고의 보안을 보장할 수 있도록 공식 문서를 주의 깊게 읽는 것이 좋습니다. 🎜

위 내용은 Laravel 개발: Laravel Sanctum을 사용하여 API 인증을 구현하는 방법은 무엇입니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!