Laravel jwt 多表(多用戶端)驗(yàn)證隔離的實(shí)現(xiàn)
Tips: tymon/jwt-auth 作者已通過增加 prv 字段修復(fù)這一問題#1167,但是如果你是用 dingo api + jwt 的話,該問題依然存在。#
JWT 多表驗(yàn)證隔離
為什么要做隔離
當(dāng)同一個(gè) laravel 項(xiàng)目有多端(移動(dòng)端、管理端......)都需要使用 jwt 做用戶驗(yàn)證時(shí),如果用戶表有多個(gè)(一般都會(huì)有),就需要做 token 隔離,不然會(huì)發(fā)生移動(dòng)端的 token 也能請求管理端的問題,造成用戶越權(quán)。
會(huì)引發(fā)這個(gè)問題的原因是 laravel 的 jwt token 默認(rèn)只會(huì)存儲(chǔ)數(shù)據(jù)表的主鍵的值,并沒有區(qū)分是那個(gè)表的。所以只要 token 里攜帶的 ID 在你的用戶表中都存在,就會(huì)導(dǎo)致越權(quán)驗(yàn)證。
我們來看看 laravel 的 jwt token 的原貌:
{ "iss": "http://your-request-url", "iat": 1558668215, "exp": 1645068215, "nbf": 1558668215, "jti": "XakIDuG7K0jeWGDi", "sub": 1 }
攜帶數(shù)據(jù)的是 sub 字段,其他字段是 jwt 的驗(yàn)證字段。
我們只看到 sub 的值為 1,并沒有說明是那個(gè)表或是哪個(gè)驗(yàn)證器的。這個(gè) token 通過你的驗(yàn)證中間件時(shí),你使用不同的 guard 就能拿到對應(yīng)表 id 為 1 的用戶(了解 guard 請查看 laravel 的文檔)。
解決辦法
想要解決用戶越權(quán)的問題,我們只要在 token 上帶上我們的自定義字段,用來區(qū)分是哪個(gè)表或哪個(gè)驗(yàn)證器生成的,然后再編寫自己的中間件驗(yàn)證我們的自定義字段是否符合我們的預(yù)期。
添加自定義信息到 token
我們知道要使用 jwt 驗(yàn)證,用戶模型必須要實(shí)現(xiàn) JWTSubject 的接口(代碼取自jwt 文檔):
<?php namespace App; use Tymon\JWTAuth\Contracts\JWTSubject; use Illuminate\Notifications\Notifiable; use Illuminate\Foundation\Auth\User as Authenticatable; class User extends Authenticatable implements JWTSubject { use Notifiable; // Rest omitted for brevity /** * Get the identifier that will be stored in the subject claim of the JWT. * * @return mixed */ public function getJWTIdentifier() { return $this->getKey(); } /** * Return a key value array, containing any custom claims to be added to the JWT. * * @return array */ public function getJWTCustomClaims() { return []; } }
我們可以看看實(shí)現(xiàn)的這兩個(gè)方法的作用:
- getJWTIdentifier 的:獲取會(huì)儲(chǔ)存到 jwt 聲明中的標(biāo)識,其實(shí)就是要我們返回標(biāo)識用戶表的主鍵字段名稱,這里是返回的是主鍵 'id',
- getJWTCustomClaims:返回包含要添加到 jwt 聲明中的自定義鍵值對數(shù)組,這里返回空數(shù)組,沒有添加任何自定義信息。
接下來我們就可以在實(shí)現(xiàn)了 getJWTCustomClaims 方法的用戶模型中添加我們的自定義信息了。
管理員模型:
/** * 額外在 JWT 載荷中增加的自定義內(nèi)容 * * @return array */ public function getJWTCustomClaims() { return ['role' => 'admin']; }
移動(dòng)端用戶模型:
/** * 額外在 JWT 載荷中增加的自定義內(nèi)容 * * @return array */ public function getJWTCustomClaims() { return ['role' => 'user']; }
這里添加了一個(gè)角色名作為用戶標(biāo)識。
這樣管理員生成的 token 會(huì)像這樣:
{ "iss": "http://your-request-url", "iat": 1558668215, "exp": 1645068215, "nbf": 1558668215, "jti": "XakIDuG7K0jeWGDi", "sub": 1, "role": "admin" }
移動(dòng)端用戶生成的 token 會(huì)像這樣:
{ "iss": "http://your-request-url", "iat": 1558668215, "exp": 1645068215, "nbf": 1558668215, "jti": "XakIDuG7K0jeWGDi", "sub": 1, "role": "user" }
我們可以看到這里多了一個(gè)我們自己加的 role 字段,并且對應(yīng)我們的用戶模型。
接下來我們自己寫一個(gè)中間件,解析 token 后判斷是否是我們想要的角色,對應(yīng)就通過,不對應(yīng)就報(bào) 401 就好了。
編寫 jwt 角色校驗(yàn)中間件
這里提供一個(gè)可全局使用的中間件 (推薦用在用戶驗(yàn)證中間件前):
<?php /** * Created by PhpStorm. * User: wlalala * Date: 2019-04-17 * Time: 13:55 */ namespace App\Http\Middleware; use Closure; use Symfony\Component\HttpKernel\Exception\UnauthorizedHttpException; use Tymon\JWTAuth\Exceptions\JWTException; use Tymon\JWTAuth\Http\Middleware\BaseMiddleware; class JWTRoleAuth extends BaseMiddleware { /** * Handle an incoming request. * * @param $request * @param Closure $next * @param null $role * @return mixed */ public function handle($request, Closure $next, $role = null) { try { // 解析token角色 $token_role = $this->auth->parseToken()->getClaim('role'); } catch (JWTException $e) { /** * token解析失敗,說明請求中沒有可用的token。 * 為了可以全局使用(不需要token的請求也可通過),這里讓請求繼續(xù)。 * 因?yàn)檫@個(gè)中間件的責(zé)職只是校驗(yàn)token里的角色。 */ return $next($request); } // 判斷token角色。 if ($token_role != $role) { throw new UnauthorizedHttpException('jwt-auth', 'User role error'); } return $next($request); } }
注冊 jwt 角色校驗(yàn)中間件
在 app/Http/Kernel.php 中注冊中間件:
/** * The application's route middleware. * * These middleware may be assigned to groups or used individually. * * @var array */ protected $routeMiddleware = [ // ...省略 ... // 多表jwt驗(yàn)證校驗(yàn) 'jwt.role' => \App\Http\Middleware\JWTRoleAuth::class, ];
使用 jwt 角色校驗(yàn)中間件
接下來在需要用戶驗(yàn)證的路由組中添加我們的中間件:
Route::group([ 'middleware' => ['jwt.role:admin', 'jwt.auth'], ], function ($router) { // 管理員驗(yàn)證路由 // ... }); Route::group([ 'middleware' => ['jwt.role:user', 'jwt.auth'], ], function ($router) { // 移動(dòng)端用戶驗(yàn)證路由 // ... });
至此完成 jwt 多表用戶驗(yàn)證隔離。
以上就是本文的全部內(nèi)容,希望對大家的學(xué)習(xí)有所幫助,也希望大家多多支持腳本之家。
相關(guān)文章
如何修改Laravel中url()函數(shù)生成URL的根地址
這篇文章主要給大家介紹了關(guān)于如何修改Laravel中url()函數(shù)生成URL根地址的相關(guān)資料,文中通過示例代碼介紹的非常詳細(xì),對大家學(xué)習(xí)或者使用laravel具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友們下面跟著小編來一起學(xué)習(xí)學(xué)習(xí)吧。2017-08-08Django中的cookie與session操作實(shí)例代碼
本文通過示例代碼給大家介紹了Django中的cookie與session操作,需要的朋友參考下吧2017-08-08ThinkPHP3.2框架使用addAll()批量插入數(shù)據(jù)的方法
這篇文章主要介紹了ThinkPHP3.2框架使用addAll()批量插入數(shù)據(jù)的方法,結(jié)合實(shí)例形式分析了thinkPHP針對單條數(shù)據(jù)插入及批量數(shù)據(jù)插入操作的相關(guān)實(shí)現(xiàn)技巧,需要的朋友可以參考下2017-03-03PHP+swoole實(shí)現(xiàn)簡單多人在線聊天群發(fā)
這篇文章主要介紹了PHP+swoole實(shí)現(xiàn)簡單多人在線聊天群發(fā) 的相關(guān)資料,需要的朋友可以參考下2016-01-01支持中文和其他編碼的php截取字符串函數(shù)分享(截取中文字符串)
這篇文章主要介紹了支持中文和其他編碼的php截取字符串函數(shù)示例(截取中文字符串),需要的朋友可以參考下2014-03-03