Laravel jwt 多表驗證隔離
為什麼要做隔離
當同一個laravel專案有多端(行動端、管理端...)都需要使用jwt做使用者驗證時,如果用戶表有多個(一般都會有),就需要做token隔離,不然會發生行動端的token也能請求管理端的問題,造成用戶越權。
會引發這個問題的原因是laravel的jwt token預設只會儲存資料表的主鍵的值,並沒有區分是那個表的。所以只要token裡攜帶的ID在你的用戶表中都存在,就會導致越權驗證。
我們來看看laravel的jwt token 的原貌:
{
"iss": "http://your-request-url",
"iat": 1558668215,
"exp": 1645068215,
"nbf": 1558668215,
"jti": "XakIDuG7K0jeWGDi",
"sub": 1,
"prv": "92d5e8eb1b38ccd11476896c19b0e44512b2aacd"
}攜帶資料的是sub字段,其他字段是jwt的驗證字段。
我們只看到sub的值為1,並沒有說明是那個表格或是哪個驗證器的。當這個token通過你的驗證中間件時,你使用不同的guard就能拿到對應表id為1的用戶(了解guard請查看laravel的文檔)。
解決方案
想要解決用戶越權的問題,我們只要在token上帶上我們的自訂字段,用來區分是哪個表或哪個驗證器生成的,然後再編寫自己的中間件驗證我們的自訂欄位是否符合我們的預期。
新增自訂資訊到token
我們知道要使用jwt驗證,使用者模型必須要實作JWTSubject的介面(程式碼取自jwt文件):
<?php
namespace App;
use Tymon\JWTAuth\Contracts\JWTSubject;
use Illuminate\Notifications\Notifiable;
use Illuminate\Foundation\Auth\User as Authenticatable;
class User extends Authenticatable implements JWTSubject
{
use Notifiable;
// Rest omitted for brevity
/**
* Get the identifier that will be stored in the subject claim of the JWT.
*
* @return mixed
*/
public function getJWTIdentifier()
{
return $this->getKey();
}
/**
* Return a key value array, containing any custom claims to be added to the JWT.
*
* @return array
*/
public function getJWTCustomClaims()
{
return [];
}
}我們可以看看實現的這兩個方法的作用:
- getJWTIdentifier的:取得會儲存到jwt宣告中的標識,其實就是要我們傳回標識使用者表的主鍵欄位名稱,這裡是回傳的是主鍵'id',
- getJWTCustomClaims:傳回包含要新增至jwt宣告中的自訂鍵值對數組,這裡傳回空數組,沒有新增任何自訂資訊。
接下來我們就可以在實作了getJWTCustomClaims方法的使用者模型中加入我們的自訂資訊了。
管理員模型:
/**
* 额外在 JWT 载荷中增加的自定义内容
*
* @return array
*/
public function getJWTCustomClaims()
{
return ['role' => 'admin'];
}行動端使用者模型:
/**
* 额外在 JWT 载荷中增加的自定义内容
*
* @return array
*/
public function getJWTCustomClaims()
{
return ['role' => 'user'];
}這裡新增了一個角色名稱作為使用者識別。
這樣管理員產生的token會像這樣:
{
"iss": "http://your-request-url",
"iat": 1558668215,
"exp": 1645068215,
"nbf": 1558668215,
"jti": "XakIDuG7K0jeWGDi",
"sub": 1,
"prv": "92d5e8eb1b38ccd11476896c19b0e44512b2aacd",
"role": "admin"
}行動端使用者產生的token會像這樣:
{
"iss": "http://your-request-url",
"iat": 1558668215,
"exp": 1645068215,
"nbf": 1558668215,
"jti": "XakIDuG7K0jeWGDi",
"sub": 1,
"prv": "92d5e8eb1b38ccd11476896c19b0e44512b2aacd",
"role": "user"
}我們可以看到這裡多了一個我們自己加的role字段,並且對應我們的用戶模型。
接下來我們自己寫一個中間件,解析token後判斷是否是我們想要的角色,對應就通過,不對應就報401就好了。
寫jwt角色校驗中間件
這裡提供一個可全域使用的中間件(推薦用在使用者驗證中間件前):
<?php
/**
* Created by PhpStorm.
* User: wlalala
* Date: 2019-04-17
* Time: 13:55
*/
namespace App\Http\Middleware;
use Closure;
use Symfony\Component\HttpKernel\Exception\UnauthorizedHttpException;
use Tymon\JWTAuth\Exceptions\JWTException;
use Tymon\JWTAuth\Http\Middleware\BaseMiddleware;
class JWTRoleAuth extends BaseMiddleware
{
/**
* Handle an incoming request.
*
* @param $request
* @param Closure $next
* @param null $role
* @return mixed
*/
public function handle($request, Closure $next, $role = null)
{
try {
// 解析token角色
$token_role = $this->auth->parseToken()->getClaim('role');
} catch (JWTException $e) {
/**
* token解析失败,说明请求中没有可用的token。
* 为了可以全局使用(不需要token的请求也可通过),这里让请求继续。
* 因为这个中间件的责职只是校验token里的角色。
*/
return $next($request);
}
// 判断token角色。
if ($token_role != $role) {
throw new UnauthorizedHttpException('jwt-auth', 'User role error');
}
return $next($request);
}
}註冊jwt角色校驗中間件
在app/Http/Kernel.php中註冊中間件:
/** * The application's route middleware. * * These middleware may be assigned to groups or used individually. * * @var array */ protected $routeMiddleware = [ // ...省略 ... // 多表jwt验证校验 'jwt.role' => \App\Http\Middleware\JWTRoleAuth::class, ];
使用jwt角色校驗中間件
接下來在需要使用者驗證的路由群組中新增我們的中間件:
Route::group([
'middleware' => ['jwt.role:admin', 'jwt.auth'],
], function ($router) {
// 管理员验证路由
// ...
});
Route::group([
'middleware' => ['jwt.role:user', 'jwt.auth'],
], function ($router) {
// 移动端用户验证路由
// ...
});至此完成jwt多表使用者驗證隔離。
更多Laravel相關技術文章,請造訪Laravel教學專欄進行學習!
以上是Laravel jwt 多表驗證隔離的詳細內容。更多資訊請關注PHP中文網其他相關文章!
熱AI工具
Undresser.AI Undress
人工智慧驅動的應用程序,用於創建逼真的裸體照片
AI Clothes Remover
用於從照片中去除衣服的線上人工智慧工具。
Undress AI Tool
免費脫衣圖片
Clothoff.io
AI脫衣器
Video Face Swap
使用我們完全免費的人工智慧換臉工具,輕鬆在任何影片中換臉!
熱門文章
熱工具
記事本++7.3.1
好用且免費的程式碼編輯器
SublimeText3漢化版
中文版,非常好用
禪工作室 13.0.1
強大的PHP整合開發環境
Dreamweaver CS6
視覺化網頁開發工具
SublimeText3 Mac版
神級程式碼編輯軟體(SublimeText3)
laravel入門實例
Apr 18, 2025 pm 12:45 PM
Laravel 是一款 PHP 框架,用於輕鬆構建 Web 應用程序。它提供一系列強大的功能,包括:安裝: 使用 Composer 全局安裝 Laravel CLI,並在項目目錄中創建應用程序。路由: 在 routes/web.php 中定義 URL 和處理函數之間的關係。視圖: 在 resources/views 中創建視圖以呈現應用程序的界面。數據庫集成: 提供與 MySQL 等數據庫的開箱即用集成,並使用遷移來創建和修改表。模型和控制器: 模型表示數據庫實體,控制器處理 HTTP 請求。
解決 Craft CMS 中的緩存問題:使用 wiejeben/craft-laravel-mix 插件
Apr 18, 2025 am 09:24 AM
在使用CraftCMS開發網站時,常常會遇到資源文件緩存的問題,特別是當你頻繁更新CSS和JavaScript文件時,舊版本的文件可能仍然被瀏覽器緩存,導致用戶無法及時看到最新的更改。這個問題不僅影響用戶體驗,還會增加開發和調試的難度。最近,我在項目中遇到了類似的困擾,經過一番探索,我找到了wiejeben/craft-laravel-mix這個插件,它完美地解決了我的緩存問題。
Laravel如何學習 怎麼免費學習Laravel
Apr 18, 2025 pm 12:51 PM
想要學習 Laravel 框架,但苦於沒有資源或經濟壓力?本文為你提供了免費學習 Laravel 的途徑,教你如何利用網絡平台、文檔和社區論壇等資源,從入門到掌握,為你的 PHP 開發之旅奠定堅實基礎。
laravel用戶登錄功能
Apr 18, 2025 pm 12:48 PM
Laravel 提供了一個全面的 Auth 框架,用於實現用戶登錄功能,包括:定義用戶模型(Eloquent 模型)創建登錄表單(Blade 模板引擎)編寫登錄控制器(繼承 Auth\LoginController)驗證登錄請求(Auth::attempt)登錄成功後重定向(redirect)考慮安全因素:哈希密碼、防 CSRF 保護、速率限制和安全標頭。此外,Auth 框架還提供重置密碼、註冊和驗證電子郵件等功能。詳情請參閱 Laravel 文檔:https://laravel.com/doc
laravel框架安裝方法
Apr 18, 2025 pm 12:54 PM
文章摘要:本文提供了詳細分步說明,指導讀者如何輕鬆安裝 Laravel 框架。 Laravel 是一個功能強大的 PHP 框架,它 упростил 和加快了 web 應用程序的開發過程。本教程涵蓋了從系統要求到配置數據庫和設置路由等各個方面的安裝過程。通過遵循這些步驟,讀者可以快速高效地為他們的 Laravel 項目打下堅實的基礎。
laravel有哪些版本 laravel新手版本選擇方法
Apr 18, 2025 pm 01:03 PM
在面向初学者的 Laravel 框架版本选择指南中,本文深入探討了 Laravel 的版本差異,旨在協助初學者在眾多版本之間做出明智的選擇。我們將重點介紹每個版本的關鍵特徵、比較它們的優缺點,並提供有用的建議,幫助新手根據他們的技能水準和項目需求挑選最合適的 Laravel 版本。對於初學者來說,選擇一個合適的 Laravel 版本至關重要,因為它可以顯著影響他們的學習曲線和整體開發體驗。
laravel怎麼查看版本號 laravel查看版本號方法
Apr 18, 2025 pm 01:00 PM
Laravel框架內置了多種方法來方便地查看其版本號,滿足開發者的不同需求。本文將探討這些方法,包括使用Composer命令行工具、訪問.env文件或通過PHP代碼獲取版本信息。這些方法對於維護和管理Laravel應用程序的版本控制至關重要。
laravel和thinkphp的區別
Apr 18, 2025 pm 01:09 PM
Laravel 和 ThinkPHP 都是流行的 PHP 框架,在開發中各有優缺點。本文將深入比較這兩者,重點介紹它們的架構、特性和性能差異,以幫助開發者根據其特定項目需求做出明智的選擇。
