实现Laravel jwt多表（多用户端）验证隔离教程_F11

分享到

实现Laravel jwt多表（多用户端）验证隔离教程

php 来源：互联网搜集作者：秩名发布时间：2019-12-19 08:52:13 人浏览

摘要

Tips: tymon/jwt-auth 作者已通过增加 prv 字段修复这一问题#1167，但是如果你是用 dingo api + jwt 的话，该问题依然存在。# JWT 多表验证隔离为什么要做隔离当同一个 laravel 项目有多端（移动端、管理端......）都需要使用 jwt 做用户验证时，如果用户

Tips: tymon/jwt-auth 作者已通过增加 prv 字段修复这一问题#1167，但是如果你是用 dingo api + jwt 的话，该问题依然存在。#

JWT 多表验证隔离

为什么要做隔离

当同一个 laravel 项目有多端（移动端、管理端......）都需要使用 jwt 做用户验证时，如果用户表有多个（一般都会有），就需要做 token 隔离，不然会发生移动端的 token 也能请求管理端的问题，造成用户越权。

会引发这个问题的原因是 laravel 的 jwt token 默认只会存储数据表的主键的值，并没有区分是那个表的。所以只要 token 里携带的 ID 在你的用户表中都存在，就会导致越权验证。

我们来看看 laravel 的 jwt token 的原貌：

{
 "iss": "http://your-request-url",
 "iat": 1558668215,
 "exp": 1645068215,
 "nbf": 1558668215,
 "jti": "XakIDuG7K0jeWGDi",
 "sub": 1
}

携带数据的是 sub 字段，其他字段是 jwt 的验证字段。

我们只看到 sub 的值为 1，并没有说明是那个表或是哪个验证器的。这个 token 通过你的验证中间件时，你使用不同的 guard 就能拿到对应表 id 为 1 的用户（）。

解决办法

想要解决用户越权的问题，我们只要在 token 上带上我们的自定义字段，用来区分是哪个表或哪个验证器生成的，然后再编写自己的中间件验证我们的自定义字段是否符合我们的预期。

添加自定义信息到 token

我们知道要使用 jwt 验证，用户模型必须要实现 JWTSubject 的接口（）：

<?php

namespace App;

use TymonJWTAuthContractsJWTSubject;
use IlluminateNotificationsNotifiable;
use IlluminateFoundationAuthUser as Authenticatable;

class User extends Authenticatable implements JWTSubject
{
 use Notifiable;

 // Rest omitted for brevity

 /**
  * Get the identifier that will be stored in the subject claim of the JWT.
  *
  * @return mixed
  */
 public function getJWTIdentifier()
 {
  return $this->getKey();
 }

 /**
  * Return a key value array, containing any custom claims to be added to the JWT.
  *
  * @return array
  */
 public function getJWTCustomClaims()
 {
  return [];
 }
}

我们可以看看实现的这两个方法的作用：

getJWTIdentifier 的：获取会储存到 jwt 声明中的标识，其实就是要我们返回标识用户表的主键字段名称，这里是返回的是主键 'id',
getJWTCustomClaims：返回包含要添加到 jwt 声明中的自定义键值对数组，这里返回空数组，没有添加任何自定义信息。

接下来我们就可以在实现了 getJWTCustomClaims 方法的用户模型中添加我们的自定义信息了。

管理员模型：

			
							/**
 * 额外在 JWT 载荷中增加的自定义内容
 *
 * @return array
 */
public function getJWTCustomClaims()
{
 return ['role' => 'admin'];
}
						
			移动端用户模型：

			 
							/**
 * 额外在 JWT 载荷中增加的自定义内容
 *
 * @return array
 */
public function getJWTCustomClaims()
{
 return ['role' => 'user'];
}
						
			这里添加了一个角色名作为用户标识。

			这样管理员生成的 token 会像这样：】

			 
							{
 "iss": "http://your-request-url",
 "iat": 1558668215,
 "exp": 1645068215,
 "nbf": 1558668215,
 "jti": "XakIDuG7K0jeWGDi",
 "sub": 1,
 "role": "admin"
}
						
			移动端用户生成的 token 会像这样：

			 
							{
 "iss": "http://your-request-url",
 "iat": 1558668215,
 "exp": 1645068215,
 "nbf": 1558668215,
 "jti": "XakIDuG7K0jeWGDi",
 "sub": 1,
 "role": "user"
}
						
			我们可以看到这里多了一个我们自己加的 role 字段，并且对应我们的用户模型。

			接下来我们自己写一个中间件，解析 token 后判断是否是我们想要的角色，对应就通过，不对应就报 401 就好了。

			编写 jwt 角色校验中间件

			这里提供一个可全局使用的中间件 (推荐用在用户验证中间件前)：

			 

			
				
						
							<?php
/**
 * Created by PhpStorm.
 * User: wlalala
 * Date: 2019-04-17
 * Time: 13:55
 */

namespace AppHttpMiddleware;

use Closure;
use SymfonyComponentHttpKernelExceptionUnauthorizedHttpException;
use TymonJWTAuthExceptionsJWTException;
use TymonJWTAuthHttpMiddlewareBaseMiddleware;

class JWTRoleAuth extends BaseMiddleware
{
 /**
  * Handle an incoming request.
  *
  * @param $request
  * @param Closure $next
  * @param null $role
  * @return mixed
  */
 public function handle($request, Closure $next, $role = null)
 {
  try {
   // 解析token角色
   $token_role = $this->auth->parseToken()->getClaim('role');
  } catch (JWTException $e) {
   /**
    * token解析失败，说明请求中没有可用的token。
    * 为了可以全局使用（不需要token的请求也可通过），这里让请求继续。
    * 因为这个中间件的责职只是校验token里的角色。
    */
   return $next($request);
  }

  // 判断token角色。
  if ($token_role != $role) {
   throw new UnauthorizedHttpException('jwt-auth', 'User role error');
  }

  return $next($request);
 }
}
						
					

			
			

			注册 jwt 角色校验中间件

			

			在 app/Http/Kernel.php 中注册中间件：

			 

			 
							/**
 * The application's route middleware.
 *
 * These middleware may be assigned to groups or used individually.
 *
 * @var array
 */
protected $routeMiddleware = [
 // ...省略 ...

 // 多表jwt验证校验
 'jwt.role' => AppHttpMiddlewareJWTRoleAuth::class,
];
						
			使用 jwt 角色校验中间件

			接下来在需要用户验证的路由组中添加我们的中间件:

			 
							Route::group([
 'middleware' => ['jwt.role:admin', 'jwt.auth'],
], function ($router) {
 // 管理员验证路由
 // ...
});

Route::group([
 'middleware' => ['jwt.role:user', 'jwt.auth'],
], function ($router) {
 // 移动端用户验证路由
 // ...
});
						
			至此完成 jwt 多表用户验证隔离。

您可能感兴趣的文章 :

原文链接 : https://learnku.com/articles/28881

Tag : JWT(5)Laravel(24)

PHP获取系统毫秒数时间方法

前言 php中获取时间方法是date()，在php中获取时间戳方法有time()、strtotime()； date()：date(format, timestamp)，format为格式、timestamp为时间戳（可选
PHP中的DI依赖注入的详细介绍

什么是 DI / 依赖注入依赖注入DI 其实本质上是指对类的依赖通过构造器完成自动注入通俗来说，就是你当前操作一个类，但是这个类的某
PHP8.1 Fiber交叉执行多任务（附代码）

拿平时大家写的 for 循环举例。像 go 你可以写两个go每个里面各写一个循环同时输入，你可以看到输出是交替。在过去的php版本中，如果只开
PHP8.0的编译安装与使用的介绍

安装与配置本次使用的操作系统Ubuntu 18.04.4 LTS 安装 1.准备必要库 1 2 apt-get install -y autoconf libxml2-dev libsqlite3-dev \ libcurl4-openssl-dev libssl-dev l
Mac如何编译PHP 8.0 到MxSrvs工具

开始准备工作下载 PHP 8.0 PHP 官方下载 https://www.php.net/downloads.php 进入到 MxSrvs 的主程序路径下的/Applications/MxSrvs/bin，根据 Mxsrvs 的命名规则，
PHP8 中的 JIT的详细介绍

PHP 8 的 JIT（Just In Time）编译器将作为扩展集成到 php 中 Opcache 扩展用于运行时将某些操作码直接转换为从 cpu 指令。这意味着使用JIT后，
PHP8.2不再支持字符串中用${}插入变量了

PHP 社区 4 月底通过了一项只有一张反对票的提案，提案内容是在即将发布的 PHP 8.2 中，不再支持使用 ${} 在字符串中插入变量的语法（标记
PHP8.2两个新的强类型：null和false的详细介绍

PHP 从 7.0 开始不断地在完善强类型，我们可以给方法参数、返回值、类属性等声明类型。强类型可以让代码更加健壮，易于维护，可读性增
PHP从txt文件中读取数据的介绍

一、打开/关闭文件 1、对文件操作时首先要打开文件，打开文件用 fopen（）函数，语法是： fopen(filename,mode,include_path,context); 2、对文件操作
PHP中token的生成

php token的生成接口特点汇总： 1、因为是非开放性的，所以所有的接口都是封闭的，只对公司内部的产品有效； 2、因为是非开放性的，所以