hairylemon-ltd/laravel-cognito-auth

适用于Laravel的AWS Cognito认证服务提供商。

维护者

详细信息

github.com/hairylemon-ltd/laravel-cognito-auth

主页

源代码

安装次数: 44

依赖者: 0

建议者: 0

安全性: 0

星标: 0

关注者: 0

分支: 53

0.1.38 2022-03-01 02:53 UTC

Requires

Requires (Dev)

MIT faeda739e491528a6b102a1bcbcc6cc90d66c6cf

blackbitsAWS CognitoAuth ProviderHairyLemon

This package is auto-updated.

Last update: 2024-09-29 05:56:44 UTC

README

Latest Version on Packagist Total Downloads StyleCI

本包提供了一种简单的方式,在Laravel中使用AWS Cognito认证。本包的思路和一些代码基于来自Blackbits的包,而该包又基于Pod-Point,你可以在以下链接中找到:Pod-Point/laravel-cognito-auth。我们决定将其作为我们的包的基础,因为我们想以某种方式对其进行定制以适应我们的需求。感谢Blackbits和Pod-Point。

目前我们在我们的包中实现了以下功能:(待检查)

  • 注册和确认电子邮件
  • 登录
  • 记住我Cookie
  • 单点登录
  • 忘记密码
  • 用户删除
  • 编辑用户属性
  • 重置用户密码
  • 确认注册

免责声明

本包目前正在开发中,尚未准备好投入生产。

安装

您可以通过composer安装此包。

composer require hairylemon-ltd/laravel-cognito-auth

Laravel 5.4及之前版本

使用Laravel 5.5之前的版本,您需要手动注册服务提供商。

// config/app.php
'providers' => [
    ...
    hairylemon-ltd\LaravelCognitoAuth\CognitoAuthServiceProvider::class,
    
];

接下来,您可以发布配置和视图。

php artisan vendor:publish --provider="hairylemon-ltd\LaravelCognitoAuth\CognitoAuthServiceProvider"

最后但同样重要的是,您想要更改认证驱动。为此,请打开您的config\auth.php文件,并将其更改为以下内容

'guards' => [
    'web' => [
        'driver' => 'cognito', // This line is important 
        'provider' => 'users',
    ],
    'api' => [
        'driver' => 'token',
        'provider' => 'users',
    ],
],

Cognito用户池

为了使用AWS Cognito作为认证提供者,您需要一个Cognito用户池。

如果您还没有创建,请访问您的Amazon管理控制台并创建一个新的用户池。

接下来,生成一个应用程序客户端。这将为您提供在.env文件中需要的应用程序客户端ID和客户端密钥。

重要提示:不要忘记激活“启用基于服务器端认证的登录API”复选框。认证流程称为:ADMIN_USER_PASSWORD_AUTH(以前称为ADMIN_NO_SRP_AUTH)

您还需要一个新的IAM角色,具有以下访问权限

  • AmazonCognitoDeveloperAuthenticatedIdentities
  • AmazonCognitoPowerUser
  • AmazonESCognitoAccess

从这个用户中,您可以获取AWS_COGNITO_KEY和AWS_COGNITO_SECRET。

Cognito API配置

将以下字段添加到您的.env文件中,并根据您的AWS设置设置值

AWS_COGNITO_KEY=
AWS_COGNITO_SECRET=
AWS_COGNITO_REGION=
AWS_COGNITO_CLIENT_ID=
AWS_COGNITO_CLIENT_SECRET=
AWS_COGNITO_USER_POOL_ID=
AWS_COGNITO_DELETE_USER=

将现有用户导入到Cognito池中

如果您正在处理一个现有的项目并且想要集成Cognito,您必须将用户csv文件导入到Cognito池中

用法

我们的包提供5个特质,您可以将其添加到您的Auth Controllers中以启动我们的包。

  • hairylemon-ltd\LaravelCognitoAuth\Auth\AuthenticatesUsers
  • hairylemon-ltd\LaravelCognitoAuth\Auth\RegistersUsers
  • hairylemon-ltd\LaravelCognitoAuth\Auth\ResetsPasswords
  • hairylemon-ltd\LaravelCognitoAuth\Auth\SendsPasswordResetEmails
  • hairylemon-ltd\LaravelCognitoAuth\Auth\VerifiesEmails

以最简单的方式,您只需遍历您的Auth Controllers,并将特质中的命名空间从目前由Laravel实现的特质更改即可。

在发布我们的包的过程中,您创建了一个视图,您可以在Resources/views/vendor/hairylemon-ltd/laravel-cognito-auth下找到该视图。

您可以根据需求更改结构。请注意blade文件中的@extend语句,以适应您的项目结构。当前状态下,您需要在此处定义这4个表单字段:tokenemailpasswordpassword_confirmation

单点登录

使用我们的包和AWS Cognito,我们为您提供了一种简单的方式来使用单点登录。有关配置选项,请查看配置文件cognito.php

要启用单点登录,您可以在.env文件中将USE_SSO设置为true。

USE_SSO=true

当您在配置中启用了SSO,并且用户尝试登录您的应用程序时,我们将检查用户是否存在于您的Cognito池中。如果用户存在,他将在您的数据库中自动创建,并且同时登录。

这就是我们使用sso_user_modelsso_user_fields字段的原因。在sso_user_model中,您定义了用户模型的类。在大多数情况下,这将是简单地App\User

使用sso_user_fields,您可以定义应存储在Cognito中的字段。请注意。如果您定义了一个不随注册请求发送的字段,这将抛出InvalidUserFieldException,并且您将无法注册。

现在,您已经将用户及其属性在Cognito池和数据库中注册,并且您想连接一个应使用相同池的第二个应用程序。实际上,这相当简单。按照您习惯的方式设置您的项目并安装我们的laravel-cognito-auth包。在两个网站上设置use_sso为true。确保您输入了完全相同的池ID。现在,当用户在您的其他应用程序中注册但不在您的第二个应用程序中,并想要登录时,他会自动创建。这就是您需要做的全部。

重要提示:如果您的用户表中有一个密码字段,您将不再需要它。您想要做的是将此字段设置为可空的,这样就可以在无需密码的情况下创建用户。从现在起,密码将存储在Cognito中。任何额外的注册数据,例如firstnamelastname,需要在cognito.php中的sso_user_fields配置中添加以推送到Cognito。否则,它们仅本地存储,且在您想要使用单点登录时不可用。

注册用户

默认情况下,如果您使用Cognito注册新用户,Cognito将在signUp过程中发送一封电子邮件,用户可以通过该电子邮件进行验证。如果用户现在点击电子邮件中的链接,他将重定向到由Cognito提供的确认页面。在大多数情况下,这不是您想要的。您希望用户留在您的页面上。

我们发现了一种绕过此默认行为的好方法。

  1. 您需要为用户创建一个额外的字段,用于存储验证令牌。此字段必须是可空的。

  2. 创建一个事件监听器,该监听器监听注册事件,该事件在用户注册后触发。

  3. 在此事件监听器中,您生成一个令牌并将其存储在您创建的字段中。

  4. 您创建一个电子邮件并发送该令牌(存储在链接中)给用户。

  5. 链接应指向一个控制器操作,您首先检查是否存在具有此令牌的用户。如果数据库中存在此类用户,则调用Cognito并将用户属性设置为email_verified true以确认注册。

     public function verifyEmail(
        $token,
        CognitoClient $cognitoClient,
        CognitoUserPropertyAccessor $cognitoUserPropertyAccessor
    ) {
        $user = User::whereToken($token)->firstOrFail();

        $user->token = null;
        $user->save();

        $cognitoClient->setUserAttributes($user->email, [
            'email_verified' => 'true',
        ]);

        if ($cognitoUserPropertyAccessor->getUserStatus($user->email) != 'CONFIRMED') {
            $cognitoClient->confirmSignUp($user->email);
            return response()->redirectToRoute('login');
        }

        return response()->redirectToRoute('dashboard');
    }

  6. 现在您需要关闭Cognito以发送电子邮件。进入您的AWS账户,导航到Cognito部分。选择您的用户池,点击MFA和验证。您将看到一个标题:您想要求验证电子邮件或电话号码吗?您必须在此处删除所有勾选的选项。完成后,您应该会看到一个红色警告:您未选择电子邮件或电话号码验证,因此您的用户在未联系您进行支持的情况下将无法恢复密码。

  7. 现在您已告诉Cognito在用户在您的应用程序中注册时停止向您发送消息,您可以自己处理所有这些。

顺便说一句:忘记密码的电子邮件仍将通过Cognito触发。您无法将其关闭,因此请确保将这些电子邮件样式化以符合您的需求。此外,请确保从适当的“发件人”地址发送电子邮件。

删除用户

如果您想允许您的用户从您的应用程序中自行删除,您可以使用我们从CognitoClient提供的deleteUser功能。

要删除用户,您应该调用deleteUser并将用户的电子邮件作为参数传递给它。在您的cognito池中删除用户后,也从您的数据库中删除该用户。

    $cognitoClient->deleteUser($user->email);
    $user->delete();

我们实现了一个新的配置选项delete_user,您可以通过AWS_COGNITO_DELETE_USER环境变量访问它。如果您将此配置设置为true,则用户将在Cognito池中被删除。如果设置为false,它将保持注册。默认情况下,此选项设置为false。如果您想使用此行为,应将USE_SSO设置为true,以便用户在成功登录后自行恢复。

要访问我们的CognitoClient,您可以将它作为参数传递到您想要执行删除的控制器操作中。

    public function deleteUser(Request $request, CognitoClient $cognitoClient)

Laravel将自行处理依赖注入。

    IMPORTANT: You want to secure this action by maybe security questions, a second delete password or by confirming 
    the email address.

变更日志

请参阅变更日志以获取有关最近更改的更多信息。

安全性

如果您发现任何与安全相关的问题,请通过电子邮件hello@blackbits.io报告,而不是使用问题跟踪器。

鸣谢

支持我们

Black Bits, Inc.是一家总部位于俄勒冈州格兰茨帕斯的专注于Laravel和AWS的网站和咨询公司。您可以在我们的网站上找到我们做什么的概述在此

许可

MIT许可证(MIT)。有关更多信息,请参阅许可文件