快捷導(dǎo)航

Laravel jwt 多表（多用戶端）驗(yàn)證隔離的實(shí)現(xiàn)

更新時(shí)間：2019年12月18日 16:29:55 作者：wlalala

這篇文章主要介紹了Laravel jwt 多表（多用戶端）驗(yàn)證隔離的實(shí)現(xiàn)，文中通過(guò)示例代碼介紹的非常詳細(xì)，對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值，需要的朋友們下面隨著小編來(lái)一起學(xué)習(xí)學(xué)習(xí)吧

Tips: tymon/jwt-auth 作者已通過(guò)增加 prv 字段修復(fù)這一問(wèn)題#1167，但是如果你是用 dingo api + jwt 的話，該問(wèn)題依然存在。#

JWT 多表驗(yàn)證隔離

為什么要做隔離

當(dāng)同一個(gè) laravel 項(xiàng)目有多端（移動(dòng)端、管理端......）都需要使用 jwt 做用戶驗(yàn)證時(shí)，如果用戶表有多個(gè)（一般都會(huì)有），就需要做 token 隔離，不然會(huì)發(fā)生移動(dòng)端的 token 也能請(qǐng)求管理端的問(wèn)題，造成用戶越權(quán)。

會(huì)引發(fā)這個(gè)問(wèn)題的原因是 laravel 的 jwt token 默認(rèn)只會(huì)存儲(chǔ)數(shù)據(jù)表的主鍵的值，并沒(méi)有區(qū)分是那個(gè)表的。所以只要 token 里攜帶的 ID 在你的用戶表中都存在，就會(huì)導(dǎo)致越權(quán)驗(yàn)證。

我們來(lái)看看 laravel 的 jwt token 的原貌：

{
 "iss": "http://your-request-url",
 "iat": 1558668215,
 "exp": 1645068215,
 "nbf": 1558668215,
 "jti": "XakIDuG7K0jeWGDi",
 "sub": 1
}

攜帶數(shù)據(jù)的是 sub 字段，其他字段是 jwt 的驗(yàn)證字段。

我們只看到 sub 的值為 1，并沒(méi)有說(shuō)明是那個(gè)表或是哪個(gè)驗(yàn)證器的。這個(gè) token 通過(guò)你的驗(yàn)證中間件時(shí)，你使用不同的 guard 就能拿到對(duì)應(yīng)表 id 為 1 的用戶（了解 guard 請(qǐng)查看 laravel 的文檔）。

解決辦法

想要解決用戶越權(quán)的問(wèn)題，我們只要在 token 上帶上我們的自定義字段，用來(lái)區(qū)分是哪個(gè)表或哪個(gè)驗(yàn)證器生成的，然后再編寫(xiě)自己的中間件驗(yàn)證我們的自定義字段是否符合我們的預(yù)期。

添加自定義信息到 token

我們知道要使用 jwt 驗(yàn)證，用戶模型必須要實(shí)現(xiàn) JWTSubject 的接口（代碼取自jwt 文檔）：

<?php

namespace App;

use Tymon\JWTAuth\Contracts\JWTSubject;
use Illuminate\Notifications\Notifiable;
use Illuminate\Foundation\Auth\User as Authenticatable;

class User extends Authenticatable implements JWTSubject
{
 use Notifiable;

 // Rest omitted for brevity

 /**
  * Get the identifier that will be stored in the subject claim of the JWT.
  *
  * @return mixed
  */
 public function getJWTIdentifier()
 {
  return $this->getKey();
 }

 /**
  * Return a key value array, containing any custom claims to be added to the JWT.
  *
  * @return array
  */
 public function getJWTCustomClaims()
 {
  return [];
 }
}

我們可以看看實(shí)現(xiàn)的這兩個(gè)方法的作用：

getJWTIdentifier 的：獲取會(huì)儲(chǔ)存到 jwt 聲明中的標(biāo)識(shí)，其實(shí)就是要我們返回標(biāo)識(shí)用戶表的主鍵字段名稱，這里是返回的是主鍵 'id',
getJWTCustomClaims：返回包含要添加到 jwt 聲明中的自定義鍵值對(duì)數(shù)組，這里返回空數(shù)組，沒(méi)有添加任何自定義信息。

接下來(lái)我們就可以在實(shí)現(xiàn)了 getJWTCustomClaims 方法的用戶模型中添加我們的自定義信息了。

管理員模型：

/**
 * 額外在 JWT 載荷中增加的自定義內(nèi)容
 *
 * @return array
 */
public function getJWTCustomClaims()
{
 return ['role' => 'admin'];
}

移動(dòng)端用戶模型：

/**
 * 額外在 JWT 載荷中增加的自定義內(nèi)容
 *
 * @return array
 */
public function getJWTCustomClaims()
{
 return ['role' => 'user'];
}

這里添加了一個(gè)角色名作為用戶標(biāo)識(shí)。

這樣管理員生成的 token 會(huì)像這樣：

{
 "iss": "http://your-request-url",
 "iat": 1558668215,
 "exp": 1645068215,
 "nbf": 1558668215,
 "jti": "XakIDuG7K0jeWGDi",
 "sub": 1,
 "role": "admin"
}

移動(dòng)端用戶生成的 token 會(huì)像這樣：

{
 "iss": "http://your-request-url",
 "iat": 1558668215,
 "exp": 1645068215,
 "nbf": 1558668215,
 "jti": "XakIDuG7K0jeWGDi",
 "sub": 1,
 "role": "user"
}

我們可以看到這里多了一個(gè)我們自己加的 role 字段，并且對(duì)應(yīng)我們的用戶模型。

接下來(lái)我們自己寫(xiě)一個(gè)中間件，解析 token 后判斷是否是我們想要的角色，對(duì)應(yīng)就通過(guò)，不對(duì)應(yīng)就報(bào) 401 就好了。

編寫(xiě) jwt 角色校驗(yàn)中間件

這里提供一個(gè)可全局使用的中間件 (推薦用在用戶驗(yàn)證中間件前)：

<?php
/**
 * Created by PhpStorm.
 * User: wlalala
 * Date: 2019-04-17
 * Time: 13:55
 */

namespace App\Http\Middleware;

use Closure;
use Symfony\Component\HttpKernel\Exception\UnauthorizedHttpException;
use Tymon\JWTAuth\Exceptions\JWTException;
use Tymon\JWTAuth\Http\Middleware\BaseMiddleware;

class JWTRoleAuth extends BaseMiddleware
{
 /**
  * Handle an incoming request.
  *
  * @param $request
  * @param Closure $next
  * @param null $role
  * @return mixed
  */
 public function handle($request, Closure $next, $role = null)
 {
  try {
   // 解析token角色
   $token_role = $this->auth->parseToken()->getClaim('role');
  } catch (JWTException $e) {
   /**
    * token解析失敗，說(shuō)明請(qǐng)求中沒(méi)有可用的token。
    * 為了可以全局使用（不需要token的請(qǐng)求也可通過(guò)），這里讓請(qǐng)求繼續(xù)。
    * 因?yàn)檫@個(gè)中間件的責(zé)職只是校驗(yàn)token里的角色。
    */
   return $next($request);
  }

  // 判斷token角色。
  if ($token_role != $role) {
   throw new UnauthorizedHttpException('jwt-auth', 'User role error');
  }

  return $next($request);
 }
}

注冊(cè) jwt 角色校驗(yàn)中間件

在 app/Http/Kernel.php 中注冊(cè)中間件：

 /**
  * The application's route middleware.
  *
  * These middleware may be assigned to groups or used individually.
  *
  * @var array
  */
 protected $routeMiddleware = [
  // ...省略 ...

  // 多表jwt驗(yàn)證校驗(yàn)
  'jwt.role' => \App\Http\Middleware\JWTRoleAuth::class,
 ];

使用 jwt 角色校驗(yàn)中間件

接下來(lái)在需要用戶驗(yàn)證的路由組中添加我們的中間件:

Route::group([
 'middleware' => ['jwt.role:admin', 'jwt.auth'],
], function ($router) {
 // 管理員驗(yàn)證路由
 // ...
});

Route::group([
 'middleware' => ['jwt.role:user', 'jwt.auth'],
], function ($router) {
 // 移動(dòng)端用戶驗(yàn)證路由
 // ...
});

至此完成 jwt 多表用戶驗(yàn)證隔離。

以上就是本文的全部?jī)?nèi)容，希望對(duì)大家的學(xué)習(xí)有所幫助，也希望大家多多支持腳本之家。

您可能感興趣的文章: