laravel是一款流行的php web開發框架,它提供了許多強大的功能和工具來簡化web應用程序的開發和維護。laravel sanctum是laravel框架的一個插件,它提供了api身份驗證和授權的功能,可以輕松地保護您的api端點免受未經授權的訪問。
在本文中,我們將學習如何使用Laravel Sanctum實現API身份驗證和授權。
一、什么是Laravel Sanctum?
Laravel Sanctum是一個輕量級的身份驗證包,它提供了簡單但強大的API身份驗證和授權功能。它基于Laravel中間件和http認證,允許我們安全地將身份驗證令牌附加到API請求中。
Laravel Sanctum支持兩種身份驗證方式:基于Cookie的身份驗證和基于Token的身份驗證。基于Cookie的身份驗證使用Laravel中間件來驗證請求中是否存在有效的認證Cookie。另一種驗證類Header中的Token并檢查其是否有效。
二、安裝Laravel Sanctum
在開始之前,我們需要先安裝Laravel Sanctum。使用composer包管理器可以輕松地安裝Laravel Sanctum:
composer require laravel/sanctum
當然了,也可以通過在composer.json文件中添加以下要求來手動安裝:
{ "require": { "laravel/sanctum": "^2.9" } }
完成后,運行以下命令來發布Laravel Sanctum配置文件和數據庫遷移文件:
php artisan vendor:publish --tag=sanctum-config php artisan vendor:publish --tag=sanctum-migrations php artisan migrate
三、配置Laravel Sanctum
- 首先,需要添加laravel / sanctum中間件到您的應用程序的HTTP內核中。
修改app/Http/kernel.php文件,添加Sanctum中間件:
// app/Http/Kernel.php protected $middleware = [ // ... LaravelSanctumHttpMiddlewareEnsureFrontendRequestsAreStateful::class, ]; protected $middlewareGroups = [ 'web' => [ // ... ], 'api' => [ LaravelSanctumHttpMiddlewareEnsureFrontendRequestsAreStateful::class, 'throttle:api', IlluminateRoutingMiddlewareSubstituteBindings::class, ], ];
這將確保在每個請求期間都可以使用Sanctum的基于Cookie的身份驗證。
- 接下來,需要配置auth配置文件。
打開config/auth.php文件,找到defaults和guards并將它們配置為使用sanctum。
// config/auth.php 'defaults' => [ 'guard' => 'api', 'passwords' => 'users', ], 'guards' => [ 'web' => [ 'driver' => 'session', 'provider' => 'users', ], 'api' => [ 'driver' => 'sanctum', 'provider' => 'users', 'hash' => false, ], ],
這將允許我們使用Sanctum進行基于Token的身份驗證。
- 添加Sanctum提供者。
如果您使用的是新版本的Laravel,則不需要添加提供者。如果您使用的是舊版本,請打開config/app.php文件并在providers數組中添加以下行:
LaravelSanctumSanctumServiceProvider::class,
四、創建授權令牌
現在,我們已經配置了Laravel Sanctum,接下來我們將了解如何使用Sanctum來創建授權令牌。
- 在用戶登錄后,在users表中為該用戶創建一個API令牌。
public function createToken(Request $request) { $user = Auth::attempt(['email' => $request->input('email'), 'password' => $request->input('password')]); if($user) { $token = $user->createToken('API Token')->plainTextToken; return response()->json([ 'token' => $token, ]); } else { return response()->json([ 'message' => 'Invalid credentials', ], 401); } }
- 創建令牌后,您可以將其添加到每個請求的Authorization標頭中。可以在axios請求中如下設置:
axios.defaults.headers.common['Authorization'] = `Bearer ${token}`;
五、實現API身份驗證和授權
在創建了授權令牌后,我們可以使用Sanctum來保護API端點免受未經授權的訪問。我們可以使用Laravel路由中間件來檢查認證令牌并拒絕未經授權的訪問。
- 首先,在api.php文件中定義受保護的API路由。
// routes/api.php Route::middleware('auth:sanctum')->get('/user', function (Request $request) { return $request->user(); });
此路由將使用Sanctum auth中間件保護。
- 接下來,訪問受保護的路由并查看結果。可以通過以下命令進行測試:
php artisan serve
現在,可以訪問 /api/user 路由以查看已登錄的用戶的詳細信息。現在,如果沒有授權標頭,將不會能夠訪問它并返回401未經授權的HTTP狀態碼。
六、結尾
Laravel Sanctum是一個強大且易于使用的身份驗證和授權解決方案,可以在Laravel Web應用程序和Web API中輕松實現身份驗證和授權。它可以輕松地保護您的API端點免受未經授權的訪問,并使您可以輕松地控制哪些用戶可以訪問哪些API端點。在這篇文章中,我們學習了如何安裝和配置Laravel Sanctum,并了解了如何使用它來創建授權令牌和實現API身份驗證和授權。
