Laravel 5.5 使用 Passport 实现 Auth 认证
最近在写一个前后端分离项目,本来想用 Jwt-auth + Dingo 开发的,但是略感笨重,于是想到了 Laravel 的 Passport 和 5.5 新出的 Api Resource。Laravel Passport 是一套已经封装好的 OAuth2 服务端实现,关于 OAuth2 我以后我会单独写一篇文章,所以这里就不细说了,先来看看怎么安装它吧。
安装
安装 Passport
- 1.在你的 Shell 中执行以下命令
composer require laravel/passport
如果你使用的 Laravel 版本是 5.5 以下,你需要手动在 config/app.php
文件 providers 数组中加入如下代码
Laravel\Passport\PassportServiceProvider::class,
- 2.运行迁移文件
在你的 Shell 中执行如下命令
php artisan migrate
Passport 服务提供器使用框架注册自己的迁移目录,因此在注册服务后,你可以直接运行 php artisan migrate
来为 Passport 生成所需的数据表
- 3.生成加密密钥
在你的 Shell 中执行如下命令
php artisan passport:install
此命令会创建生成安全访问令牌时所需的加密密钥,同时,这条命令也会创建用于生成访问令牌的「个人访问」客户端和「密码授权」。
- 4.添加 Trait
将 Laravel\Passport\HasApiTokens Trait 添加到 App\User 模型中
<?php
namespace App;
use Laravel\Passport\HasApiTokens;
use Illuminate\Notifications\Notifiable;
use Illuminate\Foundation\Auth\User as Authenticatable;
class User extends Authenticatable
{
use HasApiTokens, Notifiable;
}
- 5.注册路由
在 AuthServiceProvider 的 boot 方法中调用 Passport::routes 函数。
class AuthServiceProvider extends ServiceProvider
{
public function boot()
{
$this->registerPolicies();
Passport::routes();
}
}
如果你的程序是需要前后端分离形式的OAuth认证而不是多平台认证那么你可以在routers()方法中传递一个匿名函数来自定定义自己需要注册的路由,我这里是前后端分离的认证形式,因此我只需要对我的前端一个Client提供Auth的认证,所以我只注册了获取Token的路由,同时我还为它自定义了前缀名。
Passport::routes(function(RouteRegistrar $router) {
$router->forAccessTokens();
},['prefix' => 'api/oauth']);
- 6.更改看守器驱动
将配置文件 config/auth.php 中授权看守器 guards 的 api 的 driver 选项改为 passport。此调整会让你的应用程序在在验证传入的 API 的请求时使用 Passport 的 TokenGuard 来处理
'guards' => [
'web' => [
'driver' => 'session',
'provider' => 'users',
],
'api' => [
'driver' => 'passport',
'provider' => 'users',
],
],
至此 Passport 已经安装完成,剩下的文档里所讲到的前端部分的话,由于我是只需要使用它做 Auth 的认证,并不需要实现完整的 OAuth 功能,所以我们完全可以不使用前端页面。
使用
为了 Api 返回数据方便,我封装了几个函数
function respond($status, $respond)
{
return response()->json(['status' => $status, is_string($respond) ? 'message' : 'data' => $respond]);
}
function succeed($respond = 'Request success!')
{
return respond(true, $respond);
}
function failed($respond = 'Request failed!')
{
return respond(false, $respond);
}
respond 函数可以做基本返回,succeed 和 failed 是在 respond 函数上做的再次封装,用以返回请求成功和请求失败数据。
然后我们需要使用一层代理。
先说一下使用代理的原因,Passport 认证的流程是 从属应用带着 主应用
生成的 Client secret 和 用户输入的账号密码去请求主应用的 Passport Token 路由,以获得 access token (访问令牌) 和 refresh token (刷新令牌),然后带着得到的 access token 就可以访问 auth:api 下的路由了。但是我们并没有从属应用,是由前后端分离的前端来请求这个token,如果从前端想来拉取这个 access token 就需要把 Client token 写死在前端里,这样是很不合理的,所以我们可以在内部写一个代理,由应用自身带着 Client token 去请求自身以获取 access token,这样说可能有一点绕,大概请求过程是下面这个样子
1.前端带着用户输入的账号密码请求服务端
2.服务端带着从前端接收到账号与密码,并在其中添加 Client_id 与 Client_secret,然后带着这些参数请求自身的 Passport 认证路由,然后返回认证后的 Access token 与 refresh token
下面是代码实现,我在 App\Http\Controllers\Traits 下新建了一个 ProxyHelpers 的 Trait,当然,这个函数是我根据我的业务逻辑自己封装的,如果不适合你的业务逻辑你可以自行调整。
<?php
namespace App\Http\Controllers\Traits;
use GuzzleHttp\Client;
use App\Exceptions\UnauthorizedException;
use GuzzleHttp\Exception\RequestException;
trait ProxyHelpers
{
public function authenticate()
{
$client = new Client();
try {
$url = request()->root() . '/api/oauth/token';
$params = array_merge(config('passport.proxy'), [
'username' => request('email'),
'password' => request('password'),
]);
$respond = $client->request('POST', $url, ['form_params' => $params]);
} catch (RequestException $exception) {
throw new UnauthorizedException('请求失败,服务器错误');
}
if ($respond->getStatusCode() !== 401) {
return json_decode($respond->getBody()->getContents(), true);
}
throw new UnauthorizedException('账号或密码错误');
}
}
config/passport.php
内容如下
<?php
return [
'proxy' => [
'grant_type' => env('OAUTH_GRANT_TYPE'),
'client_id' => env('OAUTH_CLIENT_ID'),
'client_secret' => env('OAUTH_CLIENT_SECRET'),
'scope' => env('OAUTH_SCOPE', '*'),
],
];
env 文件内容如下
OAUTH_GRANT_TYPE=password
OAUTH_CLIENT_ID=2
OAUTH_CLIENT_SECRET=2HaTQJF33Sx98HjcKDiSVWZjrhVYGgkHGP8XLG1O
OAUTH_SCOPE=*
我们需要用到的 client token 是 id 为 2 的 client token,不要搞错了哟~
然后我们只需要在控制器中 use 这个 Trait,然后调用 $this->authenticate()
就可以得到认证成功的 token,如果请求失败的话,你可以使用 catch
来捕捉错误抛出异常。
public function login(Request $request)
{
$needs = $this->validate($request, rules('login'));
$user = User::where('email', $needs['email'])->first();
if (!$user) {
throw new UnauthorizedException('此用户不存在');
}
$tokens = $this->authenticate();
return succeed(['token' => $tokens, 'user' => new UserResource($user)]);
}
得到的 tokens 返回如以下格式
{
"token_type": "Bearer",
"expires_in": 31536000,
"access_token": "token_str",
"refresh_token": "token_str"
}
做完这一切后你就可以在前端向这样子请求服务端了
axios.post('yourdomain/login',login_form).then(resource => {
})
如果请求成功,那么你将会得到 用户的信息和 access token,refresh token。
然后在你的前端 http 请求 header 里需要加入一个参数 Authorization
axios.defaults.headers.common['Authorization'] = token.token_type + ' ' + token.access_token
然后在你需要使用到 auth 认证的路由里使用中间件 auth:api
,一切就大功告成啦~
本作品采用《CC 协议》,转载必须注明作者和本文链接
高认可度评论:
最近有点忙,所以写的有点乱,后面会找时间来详细写一篇 OAuth2 的文章 :joy:
最近有点忙,所以写的有点乱,后面会找时间来详细写一篇 OAuth2 的文章 :joy:
坐等详细的 OAuth2
其实感觉代理层可以省掉的。
@uax 嗯哼,如果省掉代理层的话,Passport 的 Client Token就要写死在前端里,感觉不安全。
@Seaony 嗯。你说的对,直接把client_id/secret这些放到后端处理更安全。
我那里是用的Laravel Request请求的oauth/token,你这里用的是Guzzle。
@uax 这样子啊,那好像是我理解错了,我以为你想要把 Client token 放前端。然后可能是 Guzzle 用习惯了吧,然后就直接用了~ :joy:
我感觉没有人能说明白,client_secrect放在前端的弊端到底在哪里···反正都是用户和密码换access_token多一个client_secrect只是多了一层验证而已。
@李岳群 更安全一点不是坏事 :joy:
@Seaony 大神呐 我卡在请求那块了 我得到access_token 然后axios.defaults.headers.common['Authorization']=‘ Bearer’+accesstoken 请求api里面原来的/api/user middleware(auth: api)提示么有权限 欲哭无泪啊 无泪啊
@Seaony 我知道了 我中间少加了个空格 我勒个去 看了快一个星期了 -。-
@就好比 :joy: 所以要细心呀
看了jelly的视频之后也是这样做的 ,最近在做多表登录的 也是用passport 但是总觉得处理的不够优雅
@科大大 因为Passport是一个很标准的 OAuth2.0 服务端实现,它的定位根本就不是拿来做前后端分离项目的,只是我觉得这个包用起来还算方便,所以强行加了层代理扭了过来。。
@Seaony 那一般用作前后端分离是用什么做登录比较好?
@科大大 根据项目情况自己选择吧,自带的 Api 认证也OK,用 Gate 自己写也ok,Jwt 也OK,实现效果都差不多的~,纯粹看怎么方便怎么来
passport用起来还是比较简单的,虽然实现方法不同。但是基本上逻辑都是相同的
client_id 与 client_secret放在前端问题到底在那里?作为一个标准的Oauth2,必须提供grant_type、client_id 、client_secret、scope等字段作为认证必须,这是Oauth2的要求,而scope分为 all、read、write可以对请求做限制,这都是一些标准
https://oauth.net/2/
反而不带上这些作为请求才是真正的不安全,因为client_id 与 client_secret在我认为是多端请求时识别终端来源的一个重要标识,而grant_type是用于区分是第三方还是前后端的一个重要区分,scope是对每个来源作限制操作的。
这些我觉得不应该随便用一个Poxy来绕过去,如果都像博主所想那根本就不用使用Oauth2标准了,直接使用一个简单接口就可以了
@sethhu 所以主要的分歧点是在 OAuth2.0上,而我这篇文章写的并不是如何实现 OAuth2.0,而是如何使用更加 快捷简便 的方法实现前后端分离的 Auth 认证,我认为这才是重要所在。
auth:api 中间件认证失败时,会自动跳转到登录页面,如何自定义回复特定的json数据呢?
@Zccc
auth:api
中间件认证失败返回的应该是 401 的 HTTP 状态码 和 Json 格式 的 Message@Seaony刚刚试了下
auth:api
认证失败时返回了{"message":"Unauthenticated."}
谢谢了:heart:mark
为什么每次登录的时候都需要,去调用access_token呢?
这个不停的获取新授权,会不会删掉老的!数据库会不会被爆
@shijunti19 推荐阅读 https://segmentfault.com/q/101000000848151...
直接使用passport的使用personal呢?
@科大大 可以分享jelly的这一集视频嘛~ 感谢感谢!
@张浩浩浩浩 尊重一下他的劳动成果吧,可以选择付费看,对于技术来说也不算很贵了
@Seaony 大大如果这里帐号换成phone 不是邮箱要怎么去实现呢。
user_id如何绑定的?主动请求获取token的时候返回:The user credentials were incorrect
@科大大 大佬,视频在哪呀?求分享,我正在学习这个。
@chegnchegn https://www.codecasts.com/
@科大大 多谢大佬
感谢楼主大佬,解决了我一直困扰的问题。passport本来就不是用来做前后端分离的,没办法国人要造轮子,它的本质是现实oauth2的功能,像微信、qq、微博授权那样的,结果国人非要 用户登录,然后自己给自己授权,醉了
您好,我按照您的操作一步一步走,抛出了如下图这样的错误,请问如何解决?