API令牌认证

介绍

在本文中，我将使用图表以易于理解的方式解释 API 令牌身份验证。
在粗略了解 API 令牌身份验证的工作原理后，我将通过基于代码的方式解释 API 令牌身份验证如何使用 Laravel Sanctum 进行工作。

通过阅读本文，您将了解以下内容

• API 令牌身份验证如何工作
• 如何安装 Laravel Sanctum
• 在用户注册和登录时生成 API 令牌
• API 令牌身份验证以限制访问并验证资源所有权
• 注销时删除 API 令牌

API 令牌身份验证的工作原理

1.用户注册/登录请求

客户端将用户的登录信息（例如电子邮件、密码）发送到身份验证服务器。

2.用户认证

认证服务器验证登录信息，检查用户是否存在、密码是否正确。

3.  API 令牌生成

成功登录后，Auth 服务器会为用户生成一个 API 令牌。生成的API令牌存储在personal_access_tokens表中。

4. API 请求

客户端向资源服务器发送 API 请求，并将生成的 API 令牌附加到授权标头。

5.  API 令牌验证

资源服务器验证API令牌。如果 API 令牌有效，则处理请求。

6. API 响应

资源服务器返回API响应。

如何安装 Laravel Sanctum

sail php artisan install:api

该命令生成Laravel项目下API token认证所需的api.php文件和迁移文件。

然后，执行迁移：

sail artisan migrate

这将创建 individual_access_tokens 表。

2024_10_23_231407_create_personal_access_tokens_table ......... 3.84ms DONE

在用户注册和登录时生成 API 令牌

示例代码

api.php

Route::post('/register', [AuthController::class, 'register']);

AuthController.php

public function register(Request $request)
{
    $fields = $request->validate([
        'name' => 'required|max:255',
        'email' => 'required|email|unique:users',
        'password' => 'required|confirmed'
    ]);

    $user = User::create($fields);

    $token = $user->createToken($request->name);

    return [
        'user' => $user,
        'token' => $token->plainTextToken
    ];
}

用户注册

1. 用户注册。
2. 新用户保存在用户表中。
3. 生成 API 令牌。 （创建令牌）
4. 生成的API token和用户信息存储在personal_access_tokens表中，并向用户提供API token。

示例代码

api.php

*Route*::post('/login', [*AuthController*::class, 'login']);

AuthController.php

sail php artisan install:api

用户登录

1. 用户登录。
2. 验证用户是否存在于用户表中。
3. API token是登录成功后生成的。 （创建令牌）
4. 生成的API token和用户信息存储在personal_access_tokens表中，并向用户提供API token。

*注意：每次用户登录时都会生成一个新的 API 令牌。

API 令牌生成

使用 Postman，发送具有以下条件的 API 请求以检查响应。

成功登录后，会生成 API 令牌。

您可以检查personal_access_tokens表来确认登录用户的名称和API令牌是否已保存。
*注意：API响应中的令牌与personal_access_tokens表中的令牌不同，因为它在存储到数据库时经过哈希处理。

API令牌认证

1. 用户发送 API 请求并在授权标头中包含 API 令牌。
2. auth:sanctum 中间件将从 API 请求接收到的 API 令牌与存储在 individual_access_tokens 表中的 API 令牌进行匹配。
3. 如果 API 令牌成功通过身份验证，资源服务器将处理 API 请求。
4. 经过身份验证的用户可以更新或删除帖子。
5. 资源服务器返回API响应。

限制对帖子功能的访问

以下是与用户关联的帖子的 CRUD 过程的示例代码。

示例代码：PostController.php

使用 Laravel Sanctum 限制访问权限，以便只有登录的用户才能创建、编辑和删除与用户关联的帖子。
发送实际的 API 请求以验证 API 令牌身份验证是否正确执行。

访问控制标准

用户API

• 索引，显示 这些操作提供一般公共信息，不需要 API 令牌身份验证，以获得更好的用户体验和 SEO。
• 存储、更新、删除 为了防止未经授权的访问并保持数据完整性，需要 API 令牌身份验证。

管理API

• 索引、显示、存储、更新、删除 为了增强安全性，应该通过要求所有控制器操作进行用户身份验证来保护不需要公开的 API。

编码

还可以通过在路由文件中写入以下内容来限制对 apiResource 中设置的帖子的所有端点的访问。

api.php

sail php artisan install:api

sail artisan migrate

在这种情况下，我们只想为 PostController 中的存储、更新和删除操作设置 API 令牌身份验证。为此，请在 PostController 中创建一个构造函数方法，并将 auth:sanctum 中间件应用于除 index 和 show 之外的所有操作。

PostController.php

2024_10_23_231407_create_personal_access_tokens_table ......... 3.84ms DONE

现在，用户在创建、更新或删除帖子时必须在请求中包含令牌。

测试此设置，如果您发送没有授权令牌的请求来创建帖子，则会返回带有“未经身份验证”消息的 401 错误，并且帖子创建失败。

如果包含授权令牌，则数据创建成功。

同样，更新和删除帖子的 API 要求发送请求时在 Authorization header 中包含 Token。

所有权验证后

用户访问限制已通过 API 令牌身份验证实现。
不过，还是有问题。
在当前状态下，经过身份验证的用户可以更新或删除其他用户的帖子。
添加一个流程来验证用户是否拥有帖子的所有权。

1. 用户发送 API 请求并在授权标头中包含 API 令牌。
2. auth:sanctum 中间件将从 API 请求接收到的 API 令牌与存储在 individual_access_tokens 表中的 API 令牌进行匹配。
3. auth:sanctum 中间件获取与 API 令牌关联的用户并检查该用户是否拥有目标帖子的所有权。
4. 如果 API 令牌成功验证并且用户拥有目标帖子的所有权，资源服务器将处理 API 请求。
5. 拥有帖子所有权的经过身份验证的用户可以更新和删除帖子。
6. 资源服务器返回API响应。

编码

在 Laravel 策略文件中编写授权逻辑，以便只有拥有帖子所有权的用户才能更新和删除帖子。

PostController.php

sail php artisan install:api

• 收到请求
  • 用户发送 API 请求并在授权标头中包含 API 令牌。
• 令牌验证
  • 资源服务器从 API 请求的 Authorization 标头中获取 API 令牌。 然后验证从请求接收到的 API 令牌是否与存储在 individual_access_tokens 表中的 API 令牌匹配。
• 用户识别
  • 如果令牌有效，则识别与令牌关联的用户。 我们可以通过 $request->user() 方法获取已识别的用户。
• 调用策略 Gate::authorize 方法将经过身份验证的用户和资源对象作为参数传递给策略的方法。

PostPolicy.php

sail artisan migrate

修改方法:

• 参数：
  • $user：当前经过身份验证的用户的实例。
  • $post：Post 模型的实例。
• 逻辑：
  • 检查当前认证用户是否拥有指定帖子的所有权。

更新其他用户的帖子

1. 将帖子 ID 设置为帖子更新 API 端点的路径参数。
2. 在授权标头中包含不拥有此帖子的用户的令牌。
3. 返回 403 错误消息，表明您不是帖子的所有者。

注销时删除 API 令牌

注销流程

1. 用户发送 API 请求并在授权标头中包含 API 令牌
2. auth:sanctum 中间件将从 API 请求接收到的 API 令牌与存储在 individual_access_tokens 表中的 API 令牌进行匹配。
3. 如果 API 令牌成功通过身份验证，资源服务器将处理 API 请求。
4. 从personal_access_tokens表中删除经过身份验证的用户的API令牌。
5. 资源服务器返回API响应。

编码

api.php

2024_10_23_231407_create_personal_access_tokens_table ......... 3.84ms DONE

应用 auth::sanctum 中间件进行注销路由并设置 API Token 身份验证。

AuthController.php

Route::post('/register', [AuthController::class, 'register']);

服务器将从数据库中删除当前的 API 令牌。这会使令牌无效并且无法再次使用。
服务器向客户端返回响应，表示注销成功。

概括

在本文中，使用图表以易于理解的方式解释了 API 令牌身份验证。
通过利用 Laravel Sanctum，可以使用 API 令牌实现简单且安全的身份验证，这允许客户端以不同于基于会话的身份验证的灵活性向单个用户授予访问权限。使用中间件和策略，还可以有效保护 API 请求、限制访问以及验证资源所有权。

以上是API令牌认证的详细内容。更多信息请关注PHP中文网其他相关文章！