PHP开发:使用 Laravel Sanctum 实现 SPA 应用安全认证

Laravel Sanctum 是一个 Laravel 框架官方推荐的轻量级用户认证库,它旨在为单页面应用程序(SPA)和移动应用程序提供简单而现代的身份验证。本文将介绍如何使用 Laravel Sanctum 实现 SPA 应用的安全认证。

一、安装 Laravel
首先需要安装 Laravel,可以通过 composer 安装最新版本的 Laravel

composer create-project --prefer-dist laravel/laravel your-project-name

二、配置 Sanctum
安装好 Laravel 之后需要进行 Sanctum 的配置,请先执行以下命令:

composer require laravel/sanctum

Laravel 5.5 以下版本中,需要在 config/app.php 文件中添加服务提供者和门面:

'providers' => [

...
LaravelSanctumSanctumServiceProvider::class,

],

'aliases' => [

...
'Sanctum' => LaravelSanctumSanctum::class,

],

Laravel 5.5 及以上版本中,无需手动添加服务提供者或门面。

接着需要执行数据库迁移以创建 Sanctum 所需的表:

php artisan migrate

如果您的应用程序需要使用 SPA 身份验证,则应在 config/cors.php 文件中添加您的应用程序域和信任的域。在下面的示例中,我们假设您正在构建一个具有前端应用程序的后端 API:

'paths' => ['api/*', 'sanctum/csrf-cookie'],

'allowed_methods' => ['*'],

'allowed_origins' => ['http://your-app-url.com'],

'allowed_origins_patterns' => [],

'allowed_headers' => ['*'],

'exposed_headers' => false,

'max_age' => false,

'supports_credentials' => true,

三、创建 API 和认证控制器
在 resources/views 中创建一个 index.blade.php 文件,用于显示 SPA 界面。

在 routes/api.php 中编写 API 路由。我们这里创建一个测试路由,返回当前认证用户的用户信息:

Route::middleware('auth:sanctum')->get('/user', function (Request $request) {

return $request->user();

});

接下来,我们需要添加一个特定于 SPA 应用程序的控制器,以创建和管理 Sanctum 令牌。这个控制器负责创建令牌并为用户签发身份验证 cookie。

首先在 app/Http/Controllers 文件夹中创建一个 API 控制器,例如 AuthController:

php artisan make:controller API/AuthController

然后在 AuthController 中添加 register 和 login 方法:

public function register(Request $request)
{

$request->validate([
    'name' => 'required|string|max:255',
    'email' => 'required|string|email|unique:users|max:255',
    'password' => 'required|string|min:8|confirmed'
]);

$user = new User([
    'name' => $request->name,
    'email' => $request->email,
    'password' => Hash::make($request->password)
]);

$user->save();

return response()->json([
    'message' => 'Successfully registered'
], 201);

}

public function login(Request $request)
{

$request->validate([
    'email' => 'required|string|email',
    'password' => 'required|string',
    'remember_me' => 'boolean'
]);

$credentials = request(['email', 'password']);

if (!Auth::attempt($credentials)) {
    return response()->json([
        'message' => 'Unauthorized'
    ], 401);
}

$user = $request->user();

$tokenResult = $user->createToken('Personal Access Token');

$token = $tokenResult->token;

if ($request->remember_me) {
    $token->expires_at = Carbon::now()->addWeeks(1);
}

$token->save();

return response()->json([
    'access_token' => $tokenResult->accessToken,
    'token_type' => 'Bearer',
    'expires_at' => Carbon::parse(
        $tokenResult->token->expires_at
    )->toDateTimeString()
]);

}

四、处理身份验证
现在,您已经拥有了创建 Token、用户注册和用户登录的所有必要代码,下面我们将开始构建身份验证过程。

SPA 应用程序使用 Sanctum 发送 POST 请求,通过 email 和 password 参数验证用户凭据。如果验证成功,则应用程序将接收到 OAuth Token。

使用 SPA 应用程序时,在 headers 中添加 Authorization: Bearer ,可以通过应用程序路由访问受保护的 API。

完成身份验证后,您可以通过 Sanctum 使用身份验证路由获得当前身份验证用户的信息。例如,我们可以使用以下代码检索当前身份验证用户的名称:

Route::middleware('auth:sanctum')->get('/user', function (Request $request) {

return $request->user()->name;

});

五、创建相关页面和组件
务必确保您的 Laravel 入口点文件中包含必要的 JavaScript 库(这里使用 Vue.js、Vue Router 和 Axios)。在 resources/js/app.js 文件中,定义 Vue 组件:

require('./bootstrap');

import Vue from 'vue';
import App from './views/App';
import router from './router';
import store from './store';

Vue.component('App', App);

const app = new Vue({

el: '#app',
router,
store

});

创建资源文件夹 views 和 views/App.vue,添加必要的组件(登录表单、注册表单等)。在 views 文件夹中创建需要的所有页面组件。

这里为了演示方便,代码量略多,请自行查阅 Laravel 官方文档。

六、重构 API 路由和 AckController
更新 API 路由,将 SPA 路由映射到 AckController,同时确保中间件将使用 Sanctum 配置:

Route::middleware('auth:sanctum')->get('/user', function (Request $request) {

return $request->user();

});

Route::post('/register', 'APIAuthController@register');
Route::post('/login', 'APIAuthController@login');

Route::middleware('auth:sanctum')->get('/spa/{any}', function () {

return view('index');

})->where('any', '.*');

我们在 AckController 中添加 forgotPassword 及 resetPassword 方法,用于处理用户忘记密码以及响应密码重置链接的请求:

public function forgotPassword(Request $request)
{

$request->validate(['email' => 'required|email']);

$user = User::where('email', $request->email)->first();

if (!$user) {
    return response()->json([
        'message' => 'We could not find your account'
    ], 404);
} else {
    $user->sendPasswordResetNotification($request->email);
}

return response()->json([
    'message' => 'We have e-mailed your password reset link!'
]);

}

public function resetPassword(Request $request)
{

$request->validate([
    'email' => 'required|email',
    'token' => 'required|string',
    'password' => 'required|string|confirmed|min:8'
]);

$resetPasswordStatus = Password::reset($request->only('email', 'password', 'password_confirmation', 'token'), function ($user, $password) {
    $user->forceFill([
        'password' => Hash::make($password)
    ])->save();
});

if ($resetPasswordStatus === Password::INVALID_TOKEN) {
    return response()->json(['message' => 'The reset token is invalid']);
}

return response()->json(['message' => 'Your password has been updated']);

}

七、添加路由
Laravel Sanctum 中,需要配置路由以启用身份验证、CSRF 保护和差错保护,使用 groban/laravel-livewire 实现 SPA 应用的路由。

八、运行 SPA 应用程序
完成以上步骤后,我们可以使用以下命令运行 SPA 应用程序:

npm run dev

在浏览器中打开运行的设备上的主机 IP 地址或 URL 来查看 SPA 应用程序。

最后,我们已经成功地使用 Laravel Sanctum 实现了SPA应用的安全认证。通过这种方法,可以确保应用程序数据的安全,防止未经授权的访问和保护私有信息。

以上就是PHP开发:使用 Laravel Sanctum 实现 SPA 应用安全认证的详细内容,更多请关注www.sxiaw.com其它相关文章!