efadah/laravel-cognito-auth

为 Laravel 提供的 AWS Cognito 身份验证提供商。

维护者

详情

github.com/efadah/laravel-cognito-auth

主页

源码

问题

安装: 3

依赖: 0

建议者: 0

安全: 0

星标: 0

关注者: 2

分支: 0

开放问题: 0

1.0.0 2019-09-14 04:35 UTC

Requires

Requires (Dev)

MIT a52161818f531370cba4c0cab9d3066279af95a8

  • ahmed

AWS CognitoAuth Providerefadah

This package is not auto-updated.

Last update: 2024-09-23 06:37:04 UTC

README

Latest Version on Packagist Total Downloads StyleCI

本包提供了一种简单的方法,在 Laravel 中使用 AWS Cognito 身份验证。本包的想法和部分代码基于 Pod-Point 的包,您可以在以下位置找到它:Pod-Point/laravel-cognito-auth。我们决定将其作为我们自己的包的基础,因为我们想根据我们的需求对其进行某些定制。

目前我们在包中实现了以下功能

  • 注册和确认电子邮件
  • 登录
  • 记住我 Cookie
  • 单点登录
  • 忘记密码
  • 用户删除
  • 编辑用户属性
  • 重置用户密码
  • 确认注册

免责声明

本包目前正在开发中,尚未准备好用于生产。

安装

您可以通过 composer 安装该包。

composer require black-bits/laravel-cognito-auth

Laravel 5.4 及之前版本

在 Laravel 5.5 之前的版本中,您需要手动注册服务提供者。

// config/app.php
'providers' => [
    ...
    efadah\LaravelCognitoAuth\CognitoAuthServiceProvider::class,

];

接下来,您可以发布配置和视图。

php artisan vendor:publish --provider="efadah\LaravelCognitoAuth\CognitoAuthServiceProvider"

最后但同样重要的是,您想更改认证驱动程序。为此,前往您的 config\auth.php 文件,并将其更改为以下内容

'guards' => [
    'web' => [
        'driver' => 'cognito', // This line is important
        'provider' => 'users',
    ],
    'api' => [
        'driver' => 'token',
        'provider' => 'users',
    ],
],

Cognito 用户池

为了使用 AWS Cognito 作为认证提供者,您需要一个 Cognito 用户池。

如果您还没有创建一个,请前往您的 Amazon 管理控制台 并创建一个新的用户池。

接下来,生成一个应用客户端。这将为您提供用于 .env 文件的 App 客户端 ID 和 App 客户端密钥。

重要:不要忘记激活“启用基于服务器的身份验证的登录 API”复选框。认证流程称为:ADMIN_NO_SRP_AUTH

您还需要一个具有以下访问权限的新 IAM 角色

  • AmazonCognitoDeveloperAuthenticatedIdentities
  • AmazonCognitoPowerUser
  • AmazonESCognitoAccess

从这个用户中,您可以获取 AWS_COGNITO_KEY 和 AWS_COGNITO_SECRET。

Cognito API 配置

将以下字段添加到您的 .env 文件中,并根据您的 AWS 设置设置值

AWS_COGNITO_KEY=
AWS_COGNITO_SECRET=
AWS_COGNITO_REGION=
AWS_COGNITO_CLIENT_ID=
AWS_COGNITO_CLIENT_SECRET=
AWS_COGNITO_USER_POOL_ID=
AWS_COGNITO_DELETE_USER=

将现有用户导入 Cognito 池中

如果您已经在现有的项目中工作并想要集成 Cognito,您必须 将用户 CSV 文件导入您的 Cognito 池

用法

我们的包提供 4 个特质,您可以将其添加到 Auth 控制器中以使我们的包运行。

  • efadah\LaravelCognitoAuth\Auth\AuthenticatesUsers
  • efadah\LaravelCognitoAuth\Auth\RegistersUsers
  • efadah\LaravelCognitoAuth\Auth\ResetsPasswords
  • efadah\LaravelCognitoAuth\Auth\SendsPasswordResetEmails

在最简单的情况下,您只需遍历您的 Auth 控制器,将当前实现的特质的命名空间从 Laravel 更改为它们。

在发布我们的包的过程中,您创建了一个视图,您可以在 Resources/views/vendor/black-bits/laravel-cognito-auth 下找到它。

您可以根据需要更改结构。请注意 blade 文件中的 @extend 语句以适应您的项目结构。在当前状态下,您需要在这里定义这 4 个表单字段:token、email、password、password_confirmation。

单点登录

使用我们的套餐和AWS Cognito,我们为您提供了一种简单的方式来使用单点登录。有关配置选项,请查看配置 cognito.php

要启用单点登录,您可以将 .env 文件中的 USE_SSO 设置为 true。

USE_SSO=true

当您在配置中启用 SSO 且用户尝试登录您的应用程序时,我们将检查用户是否存在于您的 Cognito 池中。如果用户存在,他将在您的数据库中自动创建,并同步登录。

这就是我们使用 sso_user_modelsso_user_fields 字段的原因。在 sso_user_model 中,您定义用户模型的类。在大多数情况下,这将是简单地 App\User

使用 sso_user_fields,您可以定义应存储在 Cognito 中的字段。请注意。如果您定义了一个在注册请求中未发送的字段,这将引发 InvalidUserFieldException,您将无法注册。

现在您已将用户及其属性注册到 Cognito 池和数据库中,并且您想附加第二个应用程序,该应用程序应使用相同的池。实际上,这相当简单。按照您习惯的方式设置项目,并安装我们的 laravel-cognito-auth 包。在两个地方都设置 use_sso 为 true。确保您输入了完全相同的池 ID。现在,当一个用户在其他应用程序中注册但未在第二个应用程序中注册并想要登录时,他将被创建。这就是您需要做的全部。

重要提示:如果您的用户表有一个密码字段,您将不再需要它。您想要做的是将此字段设置为可空的,以便可以在没有密码的情况下创建用户。从现在起,密码将存储在 Cognito 中。您拥有的任何其他注册数据,例如 firstnamelastname,都需要添加到 cognito.php 中的 sso_user_fields 配置,以便推送到 Cognito。否则,它们仅本地存储,且无法使用单点登录。

注册用户

默认情况下,如果您使用 Cognito 注册新用户,Cognito 将在 signUp 期间发送一封电子邮件,用户可以在此邮件中验证自己。如果用户现在点击电子邮件中的链接,他将被重定向到由 Cognito 提供的确认页面。在大多数情况下,这不是您想要的。您希望用户留在您的页面上。

我们已经找到了一种绕过这种默认行为的好方法。

  1. 您需要为用户创建一个额外的字段,用于存储验证令牌。此字段必须为可空的。

  2. 创建一个事件监听器,该监听器监听注册事件,该事件在用户注册后触发。

  3. 在此事件监听器中,您生成一个令牌并将其存储在您上面创建的字段中。

  4. 您创建一个电子邮件并将该令牌(存储在链接中)发送给用户。

  5. 该链接应指向一个控制器操作,您首先检查是否存在具有此令牌的用户。如果数据库中存在此类用户,您将调用 Cognito 并将用户属性设置为 email_verified 为 true,并确认注册。

    ```
 public function verifyEmail(
        $token,
        CognitoClient $cognitoClient,
        CognitoUserPropertyAccessor $cognitoUserPropertyAccessor
    ) {
        $user = User::whereToken($token)->firstOrFail();

        $user->token = null;
        $user->save();

        $cognitoClient->setUserAttributes($user->email, [
            'email_verified' => 'true',
        ]);

        if ($cognitoUserPropertyAccessor->getUserStatus($user->email) != 'CONFIRMED') {
            $cognitoClient->confirmSignUp($user->email);
            return response()->redirectToRoute('login');
        }

        return response()->redirectToRoute('dashboard');
    }
```

  6. 现在您需要关闭Cognito以发送电子邮件。进入您的AWS账户,并导航到Cognito部分。选择您的用户池,然后点击MFA和验证。您将看到一个标题:您想要求验证电子邮件或电话号码吗?您必须在这里取消所有已勾选的字段。完成后,您应该会看到一个红色警告:您没有选择电子邮件或电话号码验证,因此您的用户将无法在联系您支持的情况下恢复他们的密码。

  7. 现在您已经告诉Cognito在用户在您的应用程序注册时停止发送消息,您可以自己处理所有这些。

顺便说一下:忘记密码的电子邮件仍然会通过Cognito触发。您无法将其关闭,因此请确保根据您的需求样式化这些电子邮件。此外,请确保从正确的“发件人”地址发送电子邮件。

删除用户

如果您想允许您的用户从您的应用程序中自行删除,您可以使用我们从CognitoClient的deleteUser功能。

要删除用户,您应该调用deleteUser并传递用户的电子邮件地址作为参数。在用户已从您的cognito池中删除后,也请从您的数据库中删除该用户。

    $cognitoClient->deleteUser($user->email);
    $user->delete();

我们实现了一个新的配置选项delete_user,您可以通过AWS_COGNITO_DELETE_USER环境变量访问它。如果您将此配置设置为true,则用户将在Cognito池中被删除。如果设置为false,它将保持注册状态。默认情况下,此选项设置为false。如果您想使用此行为,您应该将USE_SSO设置为true,以便在用户成功登录后自行恢复。

要访问我们的CognitoClient,您可以将它作为参数传递到您想要执行删除操作的Controller Action中。

    public function deleteUser(Request $request, CognitoClient $cognitoClient)

Laravel将自动处理依赖注入。

    IMPORTANT: You want to secure this action by maybe security questions, a second delete password or by confirming
    the email address.

变更日志

有关最近更改的更多信息,请参阅变更日志

安全

如果您发现任何安全相关的问题,请通过电子邮件hello@efadah.io联系,而不是使用问题跟踪器。

鸣谢

支持我们

Black Bits, Inc.是一家位于俄勒冈州格兰茨帕斯的专注于Laravel和AWS的网站和咨询公司。您可以在我们的网站上找到我们做什么的概述在这里

许可

MIT许可(MIT)。有关更多信息,请参阅许可文件