前言
这里摘录下laravel5.5教程的认证文档,做个总结,方便今后查阅。
安装passport
使用 Composer 依赖包管理器安装 Passport :
composer require laravel/passport
接下来,将 Passport 的服务提供者注册到配置文件 config/app.php 的 providers 数组中:
Laravel\Passport\PassportServiceProvider::class,
Passport 使用服务提供者注册内部的数据库迁移脚本目录,所以上一步完成后,你需要更新你的数据库结构。Passport 的迁移脚本会自动创建应用程序需要的客户端数据表和令牌数据表:
php artisan migrate
> 如果你不打算使用 Passport 的默认迁移,你应该在 AppServiceProvider 的 register 方法中调用 Passport :: ignoreMigrations 方法。 你可以导出这个默认迁移用 php artisan vendor:publish –tag=passport-migrations 命令。
接下来,你需要运行 passport:install 命令来创建生成安全访问令牌时用到的加密密钥,同时,这条命令也会创建「私人访问」客户端和「密码授权」客户端:
php artisan passport:install
上面命令执行后,请将 Laravel\Passport\HasApiTokens Trait 添加到 App\User 模型中,这个 Trait 会给你的模型提供一些辅助函数,用于检查已认证用户的令牌和使用作用域:
class User extends Authenticatable
{
use HasApiTokens, Notifiable;
}
接下来,需要在 AuthServiceProvider 的 boot 方法中调用 Passport::routes 函数。这个函数会注册一些在访问令牌、客户端、私人访问令牌的发放和吊销过程中会用到的必要路由:
class AuthServiceProvider extends ServiceProvider
{
/**
* Register any authentication / authorization services.
*
* @return void
*/
public function boot()
{
$this->registerPolicies();
Passport::routes();
}
}
最后,需要将配置文件 config/auth.php 中 api 部分的授权保护项( driver )改为 passport 。此调整会让你的应用程序在接收到 API 的授权请求时使用 Passport 的 TokenGuard 来处理:
'guards' => [
'web' => [
'driver' => 'session',
'provider' => 'users',
],
'api' => [
'driver' => 'passport',
'provider' => 'users',
],
],
到此为止,基本的设置已经完成,接下来救来用passport开始认证吧。
使用passport
发放访问令牌
管理客户端
首先,接入应用如果想要与你应用的 API 进行交互,必须先在你的应用程序中注册一个「客户端」。一般来说,这个注册过程需要开发者提供两部分信息:接入应用名称和用户授权后的跳转链接。
命令 passport:client
创建客户端最简单的方式是使用 Artisan 命令 passport:client ,你可以使用此命令创建自己的客户端,用于测试 OAuth2 的功能。在你执行 client 命令时,Passport 会提示输入更多关于你的客户端的信息,最终会提供给你生成的客户端的 ID 和 密钥:
php artisan passport:client
执行完成之后会生成 client ID 和client secret;
这些都是你的本地环境生成的,别人如果想使用的话还需要接下来的步骤;
JSON API
考虑到你的用户们并没有办法使用 client 命令,Passport 同时提供了用户创建客户端的 JSON API 。这样你就不用再花时间编码来实现客户端创建、更新和删除的相关控制器逻辑了。
然而,你仍旧需要基于 Passport 的 JSON API 开发一套前端界面,方便你的用户管理他们授权的客户端。下面我们会列出所有用于管理客户端的 API,方便起见,我们使用 Axios 展示对 API 的 HTTP 请求。
GET /oauth/clients
此接口会返回当前认证用户的所有客户端。主要用途是列出当前用户所有客户端,方便用户修改或删除:
axios.get('/oauth/clients')
.then(response => {
console.log(response.data);
});
POST /oauth/clients
此接口用于用户创建新的客户端。它需要两部分数据:客户端的名称、客户端的 redirect 链接。当用户允许或拒绝授权请求后,用户都会被重定向到这个 redirect 链接。
当客户端创建完成后,会生成此客户端的 ID 和密钥,客户端可以使用这两个值从你的应用程序请求访问令牌。此接口会返回新建客户端实例的信息:
const data = {
name: 'Client Name',
redirect: 'http://example.com/callback'
};
axios.post('/oauth/clients', data)
.then(response => {
console.log(response.data);
})
.catch (response => {
// List errors on response...
});
PUT /oauth/clients/{client-id}
此接口用于更新客户端信息。它需要两部分数据:客户端的 name 和 redirect 链接。当用户允许或拒绝授权请求后,用户都会被重定向到这个 redirect 链接。此接口会返回被更新客户端实例的信息:
const data = {
name: 'New Client Name',
redirect: 'http://example.com/callback'
};
axios.put('/oauth/clients/' + clientId, data)
.then(response => {
console.log(response.data);
})
.catch (response => {
// List errors on response...
});
DELETE /oauth/clients/{client-id}
此接口用于删除客户端:
axios.delete('/oauth/clients/' + clientId)
.then(response => {
//
});
1.授权码方式获取token
添加一个路由到你的项目中:
Route::get('/redirect', function () {
$query = http_build_query([
'client_id' => 'client-id',
'redirect_uri' => 'http://example.com/callback',
'response_type' => 'code',
'scope' => '',
]);
return redirect('http://your-app.com/oauth/authorize?'.$query);
});
这里的路由可以随便定义,不一定非要是redirect 。
接下来定义callback的路由:
Route::get('/callback', function (Request $request) {
$http = new GuzzleHttp\Client;
$response = $http->post('http://your-app.com/oauth/token', [
'form_params' => [
'grant_type' => 'authorization_code',
'client_id' => 'client-id',
'client_secret' => 'client-secret',
'redirect_uri' => 'http://example.com/callback',
'code' => $request->code,
],
]);
return json_decode((string) $response->getBody(), true);
});
这里的redirect_uri必须和上诉的保持一致。
2.密码方式获取token
创建密码授权客户端
如果想要通过密码授权机制来发布令牌,首先你需要创建一个密码授权客户端。你可以使用带有 –password 参数的 passport:client 命令。如果你已经运行了 passport:install 命令,那无需再单独运行此命令:
php artisan passport:client --password
当你创建密码授权客户端后,你可以向 /oauth/token 接口发起 POST 请求来获取访问令牌,请求时需要带有用户的邮箱地址和密码信息。注意,该接口已经在 Passport::routes 方法中定义,所以无需再次手动定义。请求成功后,服务端返回的 JSON 响应数据中会带有 access_token 和 refresh_token 属性:
$http = new GuzzleHttp\Client;
$response = $http->post('http://your-app.com/oauth/token', [
'form_params' => [
'grant_type' => 'password',
'client_id' => 'client-id',
'client_secret' => 'client-secret',
'username' => 'taylor@laravel.com',
'password' => 'my-password',
'scope' => '',
],
]);
return json_decode((string) $response->getBody(), true);
3.简化授权令牌
简化授权和通过授权码授权相似; 区别是, 不需要通过授权码去获取令牌而是把令牌直接返回客户端. 主要用在无法安全存储证书场景中,这种授权在 JavaScript 和 移动应用 是最常用的. 开启授权, 在 AuthServiceProvider 中调用 enableImplicitGrant 方法:
/**
* Register any authentication / authorization services.
*
* @return void
*/
public function boot()
{
$this->registerPolicies();
Passport::routes();
Passport::enableImplicitGrant();
}
调用上面方法开启授权后, 开发者可以通过自己的应用把 client ID 当做参数去请求一个令牌。在你的应用程序 /oauth/authorize 的接口中应该有一个重定向请求像下面这样:
Route::get('/redirect', function () {
$query = http_build_query([
'client_id' => 'client-id',
'redirect_uri' => 'http://example.com/callback',
'response_type' => 'token',
'scope' => '',
]);
return redirect('http://your-app.com/oauth/authorize?'.$query);
});
4.客户端证书授权令牌
这是不需要登录直接可以获取token的方式,用于机器与机器之前(app与服务端之间)
要使用这种授权,你首先需要在 app/Http/Kernel.php 的 $routeMiddleware 变量中添加新的中间件:
use Laravel\Passport\Http\Middleware\CheckClientCredentials::class;
protected $routeMiddleware = [
'client' => CheckClientCredentials::class,
];
然后将这个中间件附加到路由中:
Route::get('/user', function(Request $request) {
...
})->middleware('client');
实际开发中不可能给每个路由都这么分配,我们可以在跟控制器中添加中间件:
function __construct(){
$this->middleware('client');
}
要获取令牌,向 oauth/token 接口发出请求:
Route::get('/get_token',function(){
$http = new GuzzleHttp\Client;
$response = $http->post(env('AUTH_HOST') . '/oauth/token', [
'form_params' => [
'grant_type' => 'client_credentials',
'client_id' => '6',
'client_secret' => 'CfERioCd1lJcoKOiXGb5dXbkzXdB7VHnSMBCs3X6',
'scope' => '',
],
// 以json的格式返回报错信息
'http_errors' => false // add this to return errors in json
]);
return json_decode((string) $response->getBody(), true);
})
还有一个私人令牌这里没有写,有兴趣的同学可以直接访问laravel5.5的文档, 做个总结,方便今后查阅。
Social Menu