我的书签
添加书签
移除书签API Authentication
默认情况下,Laravel 为 API 认证提供了一个简单的解决方案,它通过一个随机令牌分配给应用程序的每个用户。在你的 配置文件中,已经定义了一个使用 token 驱动的 api 看守器。 这个驱动程序负责检查传入请求上的 API 令牌,并验证它是否匹配数据库中用户分配的令牌。
在使用 token 驱动程序之前,你需要 它会在你的 users 表中添加一个 api_token 列:
迁移创建后,运行 migrate Artisan 命令。
将 api_token 列添加到你的 users 表之后,你可以将随机 API 令牌分配给应用程序中的每个用户。 在注册期间创建 User 模型时,应该分配这些令牌。 当使用 make:auth Artisan 命令提供的 认证脚手架 , 这可以在 RegisterController 的 create 方法中完成:
use Illuminate\Support\Str;use Illuminate\Support\Facades\Hash;/**** @param array $data* @return \App\User*/protected function create(array $data){return User::create(['email' => $data['email'],'password' => Hash::make($data['password']),'api_token' => Str::random(60),]);}
哈希令牌
在上面的示例中,API 令牌以纯文本的形式存储在数据库中。如果你希望使用 SHA-256 散列对 API 令牌进行散列, 你可以将 api 看守器配置的hash 选项设置为 true 。 api 看守器在你的 config/auth.php 配置文件中定义:
生成哈希令牌
使用哈希令牌时, 你不应该在用户注册期间生成 API 令牌。 相反, 你需要在应用程序中实现自己的 API 令牌管理页面。 这个页面应该允许用户初始化和刷新其 API 令牌。 当用户发出初始化或者刷新令牌请求时,你应该在数据中存储令牌的哈希副本,并将令牌的纯文本副本返回到视图 / 前端客户端进行一次显示。
例如,为给定用户初始化 / 刷新令牌并将纯文本令牌作为 JSON 响应返回的控制器方法可能如下所示:
<?phpnamespace App\Http\Controllers;use Illuminate\Support\Str;use Illuminate\Http\Request;class ApiTokenController extends Controller{* 更新已经验证过的用户的 API 令牌。** @param \Illuminate\Http\Request $request* @return arraypublic function update(Request $request){$token = Str::random(60);$request->user()->forceFill(['api_token' => hash('sha256', $token),])->save();return ['token' => $token];}}
Laravel 包含一个 身份认证看守器 可以自动验证传入请求的 API 令牌。 你只需要在任何需要有效访问令牌的路由上指定 auth:api 中间件:
有几种方法可以将 API 令牌传递给你的应用程序。 我们将在使用 Guzzle HTTP 库演示其用法时去讨论这些方法。 你可以根据应用程序的需要选择其中的任何方法。
请求参数
你的应用程序的 API 使用者可以将其令牌作为 api_token 查询字符串值:
$response = $client->request('GET', '/api/user?api_token='.$token);
请求负载
应用程序的 API 使用者可以在请求的表单参数中以 api_token 的形式包含其 API 令牌:
Bearer 令牌
应用程序的 API 使用者可以在请求的 Authorization 头中提供其 API 令牌作为 Bearer 令牌:
$response = $client->request('POST', '/api/user', ['headers' => ['Authorization' => 'Bearer '.$token,'Accept' => 'application/json',],
