我如何使用 Laravel Sanctum 处理基于 SPA 和令牌的身份验证
How can i handle both SPA and token based authentication with Laravel Sanctum
我花了几天时间在 Laravel Sanctum 上试图弄清楚如何设置我的身份验证系统。
上下文
我正在为我的公司构建一个票务 Web 应用程序,为此我决定构建一个 API 和一个使用 API 的 React 前端应用程序。该应用程序的最终用户需要一个帐户来管理票证,因此我在数据库中创建了一个用户 table 并为 API 创建了多个路由来创建、删除和更新用户。为了管理用户 api 身份验证,我决定使用 Laravel Sanctum 和他内置的基于会话的 SPA 身份验证系统。
为此,我按照指南设置了所有需求,以确保前端已准备好与 laravel sanctum 一起工作。这里我的 Kernel.php 用于 api 中间件:
'api' => [
\Laravel\Sanctum\Http\Middleware\EnsureFrontendRequestsAreStateful::class,
'throttle:api',
\Illuminate\Routing\Middleware\SubstituteBindings::class,
],
并且 web.php 中的路由通过 Laravel Sanctum SPA 身份验证登录/注销用户。
<?php
use App\Http\Controllers\UserController;
use Illuminate\Support\Facades\Route;
Route::post('/login', [UserController::class, 'login']);
Route::get('/logout', [UserController::class, 'logout']);
问题
我必须构建一个非 Web 应用程序,特别是需要在数据库中获取数据并使用 API 的 /api/tickets 端点的 windows 服务POST 使用这些数据创建新工单的方法。
我知道这个 futur windows-service 不是前端应用程序,所以我不能使用 SPA 身份验证系统。相反,我想使用带有 Laravel Sanctum 的令牌来验证服务。
我的问题是:
- 我如何实现这一点并将
users 身份验证和
service 身份验证。
- 因为我的 api 包含
http://myapi.net/login 等
http://myapi.net/logout 对于最终用户身份验证,我需要
创建类似 api/auth/service 的路由来发送和删除令牌 ?
- 我应该在我的数据库中创建一个名为
service 的新 table 还是保留
用 user table ?
我正在从事一个具有类似背景的项目。我所做的是根据允许用户使用 API 来建立用户配置文件。为此使用 Sanctum 标记能力:
https://laravel.com/docs/8.x/sanctum#token-abilities
- 确保您的用户class extends Authenticable:
use Laravel\Sanctum\HasApiTokens;
class User extends Authenticatable
{
use HasApiTokens, HasFactory, Notifiable;
}
- 为您的服务配置文件身份验证创建 API 路由和控制器方法,您可以在其中分配您需要的某种特殊令牌功能:
$token = $user->createToken('app-token', ['service'])->plainTextToken;
...其中 'service' 将是您要检查的能力。 Return /login 端点中的此令牌为 API-KEY。
- 在每个服务 API 路径上,使用 Sanctum 中间件验证身份验证:
Route::middleware('auth:sanctum')->post('/updatesomething', 'something@update');
- 在控制器方法中,验证令牌功能以防止网络用户使用它们,反之亦然。理想情况下,您可以使用此逻辑创建一个新的中间件以应用于这些路由。
public function update(Request $request){
if ($user->tokenCan('service')) {
//do allowed actions to user profile 'service'
}
}
通过这种方式,您现在可以通过 'service' 配置文件使用您的 API 并为此目的使用在以下请求中 /login 中收到的令牌进行身份验证。您应该将其包含在 header 中,例如 'Bearer Token'。
您可以选择在 API 中创建注销方法,并在您认为合适时撤销令牌:
$user->tokens()->delete();
我花了几天时间在 Laravel Sanctum 上试图弄清楚如何设置我的身份验证系统。
上下文
我正在为我的公司构建一个票务 Web 应用程序,为此我决定构建一个 API 和一个使用 API 的 React 前端应用程序。该应用程序的最终用户需要一个帐户来管理票证,因此我在数据库中创建了一个用户 table 并为 API 创建了多个路由来创建、删除和更新用户。为了管理用户 api 身份验证,我决定使用 Laravel Sanctum 和他内置的基于会话的 SPA 身份验证系统。
为此,我按照指南设置了所有需求,以确保前端已准备好与 laravel sanctum 一起工作。这里我的 Kernel.php 用于 api 中间件:
'api' => [
\Laravel\Sanctum\Http\Middleware\EnsureFrontendRequestsAreStateful::class,
'throttle:api',
\Illuminate\Routing\Middleware\SubstituteBindings::class,
],
并且 web.php 中的路由通过 Laravel Sanctum SPA 身份验证登录/注销用户。
<?php
use App\Http\Controllers\UserController;
use Illuminate\Support\Facades\Route;
Route::post('/login', [UserController::class, 'login']);
Route::get('/logout', [UserController::class, 'logout']);
问题
我必须构建一个非 Web 应用程序,特别是需要在数据库中获取数据并使用 API 的 /api/tickets 端点的 windows 服务POST 使用这些数据创建新工单的方法。
我知道这个 futur windows-service 不是前端应用程序,所以我不能使用 SPA 身份验证系统。相反,我想使用带有 Laravel Sanctum 的令牌来验证服务。
我的问题是:
- 我如何实现这一点并将
users身份验证和service身份验证。 - 因为我的 api 包含
http://myapi.net/login等http://myapi.net/logout对于最终用户身份验证,我需要 创建类似api/auth/service的路由来发送和删除令牌 ? - 我应该在我的数据库中创建一个名为
service的新 table 还是保留 用usertable ?
我正在从事一个具有类似背景的项目。我所做的是根据允许用户使用 API 来建立用户配置文件。为此使用 Sanctum 标记能力: https://laravel.com/docs/8.x/sanctum#token-abilities
- 确保您的用户class extends Authenticable:
use Laravel\Sanctum\HasApiTokens;
class User extends Authenticatable
{
use HasApiTokens, HasFactory, Notifiable;
}
- 为您的服务配置文件身份验证创建 API 路由和控制器方法,您可以在其中分配您需要的某种特殊令牌功能:
$token = $user->createToken('app-token', ['service'])->plainTextToken;
...其中 'service' 将是您要检查的能力。 Return /login 端点中的此令牌为 API-KEY。
- 在每个服务 API 路径上,使用 Sanctum 中间件验证身份验证:
Route::middleware('auth:sanctum')->post('/updatesomething', 'something@update');
- 在控制器方法中,验证令牌功能以防止网络用户使用它们,反之亦然。理想情况下,您可以使用此逻辑创建一个新的中间件以应用于这些路由。
public function update(Request $request){
if ($user->tokenCan('service')) {
//do allowed actions to user profile 'service'
}
}
通过这种方式,您现在可以通过 'service' 配置文件使用您的 API 并为此目的使用在以下请求中 /login 中收到的令牌进行身份验证。您应该将其包含在 header 中,例如 'Bearer Token'。 您可以选择在 API 中创建注销方法,并在您认为合适时撤销令牌:
$user->tokens()->delete();