jeckerson/laravel5-auth-token

该软件包最新版本(dev-master)没有可用的许可证信息。

维护者

详细信息

github.com/Jeckerson/laravel5-auth-token

源代码

问题

安装: 90

依赖关系: 0

建议者: 0

安全: 0

星标: 1

关注者: 2

分支: 0

开放问题: 0

dev-master 2019-05-28 14:38 UTC

Requires

Requires (Dev)

Unknown License 168deceb0742a13257ab49a3a27c0d33e3e38b4e

This package is auto-updated.

Last update: 2024-08-29 02:45:43 UTC

README

集成到laravel auth模块,并在成功时提供认证令牌。此令牌仅在https环境中才是安全的。此模块的主要目的是为javascript web应用提供认证令牌,以便在API调用中识别用户。

Build Status

入门

设置

将包添加到composer.json中,运行composer update

"require": {
	...
    "tappleby/laravel-auth-token": "0.4.*"
}

将服务提供者添加到app/config/app.php

'Tappleby\AuthToken\AuthTokenServiceProvider',

app/config/app.php中设置可选别名

'AuthToken' => 'Tappleby\Support\Facades\AuthToken',
'AuthTokenNotAuthorizedException' => 'Tappleby\AuthToken\Exceptions\NotAuthorizedException'

目前认证令牌存储在数据库中,您需要运行迁移

php artisan vendor:publish --provider="Tappleby\AuthToken\AuthTokenServiceProvider"
php artisan migrate
可选配置

默认情况下,该软件包使用电子邮件作为用户名字段进行验证,这可以通过软件包配置进行更改。

  1. 发布配置php artisan config:publish tappleby/laravel-auth-token
  2. 编辑app/config/packages/tappleby/laravel-auth-token/config.php中的format_credentials闭包

示例 - 仅验证活动用户并检查用户名列而不是电子邮件

'format_credentials' => function ($username, $password) {
	return array(
		'username' => $username,
		'password' => $password,
		'active' => true
	);
}

有关laravel Auth模块的更多信息,请参阅此处:认证用户

控制器

提供了一个默认控制器来授予、检查和吊销令牌。将以下内容添加到app/routes.php

Route::get('auth', 'Tappleby\AuthToken\AuthTokenController@index');
Route::post('auth', 'Tappleby\AuthToken\AuthTokenController@store');
Route::delete('auth', 'Tappleby\AuthToken\AuthTokenController@destroy');

CORS支持

默认情况下,此库不包含CORS支持,但可以通过以下包启用:barryvdh/laravel-cors

配置将特定于您的路由设置。如果您正在使用X-Auth-Token头,则重要的是将其添加到allowedHeaders配置中。请参阅软件包文档以获取更多配置详细信息。

以下是一个使用默认auth路由的示例

'paths' => array(
    'auth' => array(
        'allowedOrigins' => array('*'),
        'allowedHeaders' => array('Content-Type', 'X-Auth-Token'),
        'allowedMethods' => array('POST', 'PUT', 'GET', 'DELETE'),
        'maxAge' => 3600,
    )
),

注意:如果您知道allowedOrigins的列表,最好明确定义它们而不是使用通配符*

请求参数

所有请求都必须包含以下之一

  1. X-Auth-Token头。
  2. auth_token字段。
GET索引操作

返回当前用户作为json。需要存在认证令牌参数。失败时抛出NotAuthorizedException

POST存储操作

必需输入usernamepassword。成功返回包含tokenuser的json对象。失败时抛出NotAuthorizedException

DELETE销毁操作

清除用户的令牌。需要存在认证令牌参数。失败时抛出NotAuthorizedException

NotAuthorizedException默认具有401错误代码。

路由过滤器

服务提供者注册了auth.token路由过滤器。要保护资源,请注册一个before过滤器。如果有效的认证令牌无效或缺失,则过滤器会抛出NotAuthorizedException

Route::group(array('prefix' => 'api', 'before' => 'auth.token'), function() {
  Route::get('/', function() {
    return "Protected resource";
  });
});

事件

当提供有效的认证令牌时,路由过滤器将触发auth.token.valid并带有授权用户。

Event::listen('auth.token.valid', function($user)
{
  //Token is valid, set the user on auth system.
  Auth::setUser($user);
});

AuthTokenController::store在返回响应之前触发auth.token.created

Event::listen('auth.token.created', function($user, $token)
{
	$user->load('relation1', 'relation2');
});

AuthTokenController::destroy在返回响应之前触发auth.token.deleted

处理NotAuthorizedException

可选地注册NotAuthorizedException作为别名,例如AuthTokenNotAuthorizedException

App::error(function(AuthTokenNotAuthorizedException $exception) {
  if(Request::ajax()) {
    return Response::json(array('error' => $exception->getMessage()), $exception->getCode());
  }
  
  …Handle non ajax response…
});

结合Laravel Auth和AuthToken

某些应用程序可能已经使用了基于传统Laravel的认证。以下内容可用于手动生成令牌。

if(Auth::check()) {
  $authToken = AuthToken::create(Auth::user());
  $publicToken = AuthToken::publicToken($authToken);
}

AuthToken::publicToken 方法准备将认证令牌发送到浏览器。

变更

0.3.0

  • 在AuthTokenController::store返回响应之前,添加了auth.token.created事件。
  • AuthTokenController需要将事件调度器传递给构造函数。

0.2.0

  • 添加了对Laravel 4.1.X的支持。由于L4.1中的API变更,这是一个硬依赖。
  • 移除了AuthTokenController的facade,必须使用完整的命名空间来引用控制器。请参阅控制器部分
  • Auth::attempt字段的可选配置。

小贴士:使用jQuery

使用jQuery的ajaxPrefilter方法,可以在ajax请求中自动设置X-Auth-Token。

// Register ajax prefilter. If app config contains auth_token will automatically set header,
$.ajaxPrefilter(function (options, originalOptions, jqXHR) {
  if (config.auth_token) {
    jqXHR.setRequestHeader('X-Auth-Token', config.auth_token);
  }
});

如果收到401响应代码,也可以自动处理。在以下示例中,我选择重定向到注销页面以确保用户会话被销毁。

// If a 401 http error is recieved, automatically redirect to logout page.
$(document).ajaxError(function (event, jqxhr) {
  if (jqxhr && jqxhr.status === 401) {
    window.location = '/logout';
  }
});

小贴士:自动将令牌数据绑定到视图。

可以使用视图组合器来自动将数据绑定到视图。这可以将逻辑集中在一个地方。我使用以下代码来设置JavaScript的配置变量。

View::composer('layouts.default', function($view)
{
  $rootUrl = rtrim(URL::route('home'), '/');

  $jsConfig = isset($view->jsConfig) ? $view->jsConfig : array();

  $jsConfig = array_merge(array(
    'rootUrl' =>  $rootUrl
  ), $jsConfig);

  if(Auth::check()) {

    $authToken = AuthToken::create(Auth::user());
    $publicToken = AuthToken::publicToken($authToken);

    $userData = array_merge(
      Auth::user()->toArray(),
      array('auth_token' => $publicToken)
    );

    $jsConfig['userData'] = $userData;
  }

  $view->with('jsConfig', $jsConfig);
});