隨著RESTful API的普及和應用的廣泛使用,越來越多的應用程序需要對API進行身份驗證和授權,因此API安全性已成為當今軟件開發中極其重要的一個方面。Laravel Sanctum是Laravel 7.0引入的開箱即用的輕量級身份驗證系統,它旨在讓API身份驗證變得簡單而安全。在本篇文章中,我們將介紹如何在Laravel中使用Sanctum來保證API的安全性。
- 安裝Laravel Sanctum
在開始之前,我們需要確認已經安裝好Laravel 7.0+版本。然后我們可以使用composer安裝Laravel Sanctum依賴:
composer require laravel/sanctum
登錄后復制
安裝完Sanctum之后,在config/app.php文件中加入以下代碼:
'providers' => [
// ...
LaravelSanctumSanctumServiceProvider::class,
],
'aliases' => [
//...
'Sanctum' => LaravelSanctumSanctum::class,
]
登錄后復制
這樣,Laravel應用程序就已經使用了Sanctum提供的服務和功能。
- 配置數據庫
接下來,在執行數據庫遷移之前,我們需要設置Sanctum的數據庫表。 Larave lSanctum默認提供了一個包含以下字段的personal_access_tokens數據庫表:
id:令牌的唯一標識符tokenable_type:與令牌關聯的模型的類名tokenable_id:與令牌關聯的模型的IDname:令牌的名稱token:API令牌的值abilities:令牌的授權
在創建personal_access_tokens表之前,我們需要先創建模型關系。可以通過在AuthServiceProvider中注冊以下內容來完成:
use LaravelSanctumSanctum;
//...
public function boot()
{
$this->registerPolicies();
Sanctum::ignoreMigrations();
Sanctum::actingAs( null, [
'superuser'
]);
}
登錄后復制
Sanctum::ignoreMigrations()用于阻止Laravel在artisan migrate命令中執行Sanctum的數據庫遷移文件。但是,在大多數情況下,我們只是將其添加到數據庫遷移文件的命令中。Sanctum::actingAs()還提供了一種僅用于開發的方法,該方法在沒有用戶身份驗證的情況下模擬用戶身份。
然后,我們需要運行以下命令來創建personal_access_tokens表:
php artisan migrate
登錄后復制
- 創建API令牌
Laravel Sanctum為我們提供了兩種方式來為API生成令牌。一種是CreateToken方法,該方法可以創建一個或多個包含可選名稱和授予權限的API令牌。這里我們介紹第二種方法,即使用hasApiTokens()函數配合createToken()函數:
// use the HasApiTokens trait within your User Model
use LaravelSanctumHasApiTokens;
class User extends Authenticatable
{
use HasApiTokens, Notifiable;
// ...
}
// create a Token with User ID and given Abilities
$personalAccessToken = $user->createToken('API Token', ['server:get','server:post']);
登錄后復制
這里我們在用戶模型中使用了HasApiTokensTrait,以便在用戶模型中實現API令牌功能。我們使用createToken方法來創建一個API令牌,并在創建令牌時指定了一個可選的名稱和授權的權限鍵。
- 保護API路由
有了API密鑰,我們就可以將其注入到每個請求中以進行身份驗證。我們可以在Laravel的路由文件中使用sanctum中間件來保護API路由,以便驗證請求中的令牌:
// A Group of API routes that require a valid Token
Route::group(['middleware' => 'auth:sanctum'], function () {
Route::get('/user', function (Request $request) {
return $request->user();
});
});
登錄后復制
在這段代碼中,我們定義了一個包含驗證sanctum中間件的路由組。 路由組中包含一條路由,該路由僅需要一個有效的Token才能訪問。
- 使用Bearer令牌
使用Bearer令牌是通過HTTP Authorization頭來發送API令牌的最常見方法。可以通過在請求頭中加入Authorization: Bearer {{$personalAccessToken->plainTextToken}}來授權令牌:
curl -H "Authorization: Bearer xxxxx" http://example.com/api/user
登錄后復制
- 撤銷API令牌
最后,我們需要了解如何撤銷API令牌。我們可以使用tokens()->delete()函數來刪除某個用戶的所有API令牌,或使用revoke()函數來撤銷單個API令牌:
$user->tokens()->delete(); $personalAccessToken->revoke();
登錄后復制
結束語
現在我們已經成功地實現了Sanctum身份驗證來保護我們的API。Sanctum和Laravel提供了簡單而強大的API身份驗證,這使得開發人員可以專注于構建強大的API,并將主要的關注點放在業務邏輯上。在使用Sanctum時,強烈建議您仔細閱讀官方文檔,這樣您就可以全面了解API的身份驗證過程,并確保應用程序具有最高的安全性。
以上就是Laravel開發:如何使用Laravel Sanctum實現API身份驗證?的詳細內容,更多請關注www.xfxf.net其它相關文章!
