Pembangunan Laravel: Bagaimana untuk melaksanakan pengesahan API menggunakan Laravel Sanctum?

Dengan populariti API RESTful dan penggunaan aplikasi yang meluas, semakin banyak aplikasi memerlukan pengesahan dan kebenaran API, jadi keselamatan API telah menjadi aspek yang sangat penting dalam pembangunan perisian hari ini. Laravel Sanctum ialah sistem pengesahan ringan yang diperkenalkan di luar kotak dengan Laravel 7.0, yang direka untuk menjadikan pengesahan API mudah dan selamat. Dalam artikel ini, kami akan memperkenalkan cara menggunakan Sanctum dalam Laravel untuk memastikan keselamatan API.

1. Pasang Laravel Sanctum

Sebelum kita mula, kami perlu mengesahkan bahawa versi Laravel 7.0+ telah dipasang. Kemudian kita boleh menggunakan komposer untuk memasang dependencies Laravel Sanctum:

composer require laravel/sanctum

Selepas memasang Sanctum, tambah kod berikut pada fail config/app.php:

'providers' => [
    // ...
    LaravelSanctumSanctumServiceProvider::class,
],

'aliases' => [
    //...
    'Sanctum' => LaravelSanctumSanctum::class,
]

Dengan cara ini, aplikasi Laravel telah menggunakan Sanctum perkhidmatan dan fungsi yang disediakan.

2. Mengkonfigurasi pangkalan data

Seterusnya, sebelum melakukan pemindahan pangkalan data, kita perlu menyediakan jadual pangkalan data Sanctum. LaravelSanctum menyediakan personal_access_tokens jadual pangkalan data secara lalai dengan medan berikut:

• id: pengecam unik token
• tokenable_type: yang dikaitkan dengan token Nama kelas model
• tokenable_id: ID model yang dikaitkan dengan token
• name: Nama token
• token: Nilai token API
• abilities: Keizinan token

Sebelum mencipta jadual personal_access_tokens, kita perlu mencipta perhubungan model terlebih dahulu. Ini boleh dilakukan dengan mendaftarkan perkara berikut dalam AuthServiceProvider:

use LaravelSanctumSanctum;
//...

public function boot()
{
    $this->registerPolicies(); 

    Sanctum::ignoreMigrations();

    Sanctum::actingAs( null, [
        'superuser'
    ]);
}

Sanctum::ignoreMigrations() Fail pemindahan pangkalan data yang digunakan untuk menghalang Laravel daripada melaksanakan Sanctum dalam perintah artisan migrate. Walau bagaimanapun, dalam kebanyakan kes, kami hanya menambahkannya pada arahan fail pemindahan pangkalan data. Sanctum::actingAs()Juga menyediakan kaedah pembangunan sahaja yang menyamar sebagai pengguna tanpa pengesahan pengguna.

Kemudian, kita perlu menjalankan arahan berikut untuk mencipta jadual personal_access_tokens:

php artisan migrate

3. Buat Token API

Laravel Sanctum menyediakan kita dua cara untuk menjana token untuk API. Salah satunya ialah kaedah CreateToken, yang mencipta satu atau lebih token API dengan nama pilihan dan kebenaran yang diberikan. Di sini kami memperkenalkan kaedah kedua, iaitu menggunakan fungsi hasApiTokens() dengan fungsi createToken():

// use the HasApiTokens trait within your User Model
use LaravelSanctumHasApiTokens;

class User extends Authenticatable
{
    use HasApiTokens, Notifiable;

    // ...
}

// create a Token with User ID and given Abilities
$personalAccessToken = $user->createToken('API Token', ['server:get','server:post']);

Di sini kami menggunakan HasApiTokensTrait dalam model pengguna untuk melaksanakan fungsi token API dalam model pengguna. Kami menggunakan kaedah createToken untuk mencipta token API dan menentukan nama pilihan dan kunci kebenaran yang dibenarkan semasa membuat token.

4. Menjaga Laluan API

Dengan kunci API di tangan, kami boleh menyuntiknya ke dalam setiap permintaan untuk pengesahan. Kami boleh menggunakan sanctum middleware dalam fail penghalaan Laravel untuk menjamin laluan API untuk mengesahkan token dalam permintaan:

// A Group of API routes that require a valid Token
Route::group(['middleware' => 'auth:sanctum'], function () {
    Route::get('/user', function (Request $request) {
        return $request->user();
    });
});

Dalam kod ini, kami mentakrifkan pengesahan sanctum kumpulan Penghalaan middleware untuk fail. Kumpulan laluan mengandungi laluan yang hanya memerlukan Token yang sah untuk diakses.

5. Menggunakan Token Pembawa

Menggunakan BearerToken ialah cara paling biasa untuk menghantar token API melalui pengepala HTTP Authorization. Token boleh dibenarkan dengan menambahkan Authorization: Bearer {{$personalAccessToken->plainTextToken}} pada pengepala permintaan:

curl -H "Authorization: Bearer xxxxx" http://example.com/api/user

6. Membatalkan Token API

Akhir sekali, kita perlu memahami cara membatalkan token API. Kita boleh menggunakan fungsi tokens()->delete() untuk memadam semua token API untuk pengguna, atau menggunakan fungsi revoke() untuk membatalkan satu token API:

$user->tokens()->delete();

$personalAccessToken->revoke();

Kesimpulan

Sekarang kami telah berjaya Melaksanakan Pengesahan Sanctum untuk menjamin API kami. Sanctum dan Laravel menyediakan pengesahan API yang mudah tetapi berkuasa, yang membolehkan pembangun menumpukan pada membina API yang berkuasa dan meletakkan fokus utama pada logik perniagaan. Apabila menggunakan Sanctum, amat disyorkan agar anda membaca dokumentasi rasmi dengan teliti supaya anda boleh memahami sepenuhnya proses pengesahan API dan memastikan keselamatan tertinggi untuk aplikasi anda.

Atas ialah kandungan terperinci Pembangunan Laravel: Bagaimana untuk melaksanakan pengesahan API menggunakan Laravel Sanctum?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!