kieutrongthien/laravel-cognito-auth

为Laravel提供AWS Cognito认证的认证提供者。

维护者

详细信息

github.com/kieutrongthien/laravel-cognito-auth

主页

源代码

安装: 1

依赖者: 0

建议者: 0

安全性: 0

星星: 0

关注者: 0

分支: 53

v1.0 2023-06-14 15:42 UTC

Requires

Requires (Dev)

MIT b32466bc174eab8ddb4f8e120986f110e7735eab

blackbitsAWS CognitoAuth Provider

This package is auto-updated.

Last update: 2024-09-14 19:14:52 UTC

README

Latest Version on Packagist Total Downloads StyleCI

此包提供了一种简单的方法来在Laravel中使用AWS Cognito认证。这个包的想法和部分代码基于Pod-Point的包,您可以在以下位置找到:[Pod-Point/laravel-cognito-auth](https://github.com/Pod-Point/laravel-cognito-auth)。我们决定将其作为我们自己的包的基础,因为我们想以某些方式对其进行定制以适应我们的需求。

目前我们已在我们的包中实现了以下功能

  • 注册和确认电子邮件
  • 登录
  • 记住我Cookie
  • 单点登录
  • 忘记密码
  • 用户删除
  • 编辑用户属性
  • 重置用户密码
  • 确认注册

免责声明

该包目前正在开发中,尚未准备好用于生产。

安装

您可以通过composer安装此包。

composer require black-bits/laravel-cognito-auth

Laravel 5.4及之前版本

在使用Laravel 5.5之前的版本时,您需要手动注册服务提供者。

// config/app.php
'providers' => [
    ...
    BlackBits\LaravelCognitoAuth\CognitoAuthServiceProvider::class,
    
];

接下来,您可以发布配置和视图。

php artisan vendor:publish --provider="BlackBits\LaravelCognitoAuth\CognitoAuthServiceProvider"

最后但同样重要的是,您想要更改认证驱动程序。要做到这一点,请转到您的config\auth.php文件,并将其更改为以下内容

'guards' => [
    'web' => [
        'driver' => 'cognito', // This line is important 
        'provider' => 'users',
    ],
    'api' => [
        'driver' => 'token',
        'provider' => 'users',
    ],
],

Cognito用户池

为了使用AWS Cognito作为认证提供者,您需要一个Cognito用户池。

如果您还没有创建一个,请转到您的Amazon管理控制台并创建一个新的用户池。

接下来,生成一个App客户端。这将为您提供需要添加到.env文件中的App客户端ID和App客户端密钥。

重要:不要忘记激活“启用基于服务器的认证的登录API”复选框。认证流程称为:ADMIN_USER_PASSWORD_AUTH(以前称为ADMIN_NO_SRP_AUTH)

您还需要一个具有以下访问权限的新IAM角色

  • AmazonCognitoDeveloperAuthenticatedIdentities
  • AmazonCognitoPowerUser
  • AmazonESCognitoAccess

从这个用户中,您可以获取AWS_COGNITO_KEY和AWS_COGNITO_SECRET。

Cognito API配置

将以下字段添加到您的.env文件中,并根据您的AWS设置设置值

AWS_COGNITO_KEY=
AWS_COGNITO_SECRET=
AWS_COGNITO_REGION=
AWS_COGNITO_CLIENT_ID=
AWS_COGNITO_CLIENT_SECRET=
AWS_COGNITO_USER_POOL_ID=
AWS_COGNITO_DELETE_USER=

将现有用户导入到Cognito池中

如果您已经在现有的项目中工作,并希望集成Cognito,您必须将用户csv文件导入到Cognito池中

使用方法

我们的包提供5个特质,您可以直接将其添加到Auth Controllers以运行我们的包。

  • BlackBits\LaravelCognitoAuth\Auth\AuthenticatesUsers
  • BlackBits\LaravelCognitoAuth\Auth\RegistersUsers
  • BlackBits\LaravelCognitoAuth\Auth\ResetsPasswords
  • BlackBits\LaravelCognitoAuth\Auth\SendsPasswordResetEmails
  • BlackBits\LaravelCognitoAuth\Auth\VerifiesEmails

在 simplest way,您只需遍历您的Auth Controllers,并将特质中的命名空间从Laravel中当前实现的特质更改即可。

在发布我们的包的过程中,您创建了一个视图,您可以在Resources/views/vendor/black-bits/laravel-cognito-auth下找到它。

您可以根据需要更改结构。请注意,blade文件中的@extend语句以适应您的项目结构。在当前状态下,您需要在此处定义以下4个表单字段:token、email、password、password_confirmation。

单点登录

我们通过使用我们的包和AWS Cognito,为您提供了一种简单的方式来使用单点登录。有关配置选项,请参阅配置文件cognito.php

要启用单点登录,您可以在您的.env文件中将USE_SSO设置为true。

USE_SSO=true

当您在配置中启用了SSO,并且用户尝试登录到您的应用程序时,我们会检查用户是否存在于您的Cognito池中。如果用户存在,他将被自动创建在您的数据库中,并且同时登录。

这就是我们使用sso_user_modelsso_user_fields字段的原因。在sso_user_model中,您定义了用户模型类。在大多数情况下,这将是简单地App\User

通过sso_user_fields,您可以定义应存储在Cognito中的字段。请注意。如果您定义了一个在注册请求中没有发送的字段,这将抛出InvalidUserFieldException异常,您将无法注册。

现在,您已经使用Cognito池和数据库中的用户属性注册了用户,并且您想要连接第二个应用程序,该应用程序应使用相同的池。实际上,这非常简单。按照您习惯的方式设置您的项目并安装laravel-cognito-auth包。在两个地方都将use_sso设置为true。确保您输入了完全相同的池ID。现在,当用户在您的其他应用程序中注册但不在您的第二个应用程序中,并想要登录时,他会自动创建。这就是您需要做的全部。

重要:如果您的用户表有一个密码字段,您将不再需要这个字段。您想要做的是将此字段设置为可空的,这样就可以在不设置密码的情况下创建用户。从现在起,密码将存储在Cognito中。您有额外的注册数据,例如firstnamelastname,需要添加到cognito.php中的sso_user_fields配置以推送到Cognito。否则,它们仅在本地上存储,并且在使用单点登录时不可用。

用户注册

默认情况下,如果您使用Cognito注册新用户,Cognito将在signUp过程中发送一封电子邮件,用户可以在此验证自己。如果用户现在点击电子邮件中的链接,他将重定向到由Cognito提供的确认页面。在大多数情况下,这不是您想要的。您希望用户停留在您的页面上。

我们已经找到了一种巧妙的方法来解决这个问题。

  1. 您需要为用户创建一个额外的字段,用于存储验证令牌。此字段必须是可空的。

  2. 创建一个事件监听器,该监听器监听注册事件,该事件在用户注册后触发。

  3. 在这个事件监听器中,您生成一个令牌并将其存储在您上面创建的字段中。

  4. 您创建一封电子邮件并将该令牌发送给用户,该令牌存储在一个链接中。

  5. 链接应指向一个控制器操作,您首先检查是否存在具有此令牌的用户。如果数据库中存在此类用户,您将调用Cognito并将用户属性设置为email_verified为true,并确认注册。

     public function verifyEmail(
        $token,
        CognitoClient $cognitoClient,
        CognitoUserPropertyAccessor $cognitoUserPropertyAccessor
    ) {
        $user = User::whereToken($token)->firstOrFail();

        $user->token = null;
        $user->save();

        $cognitoClient->setUserAttributes($user->email, [
            'email_verified' => 'true',
        ]);

        if ($cognitoUserPropertyAccessor->getUserStatus($user->email) != 'CONFIRMED') {
            $cognitoClient->confirmSignUp($user->email);
            return response()->redirectToRoute('login');
        }

        return response()->redirectToRoute('dashboard');
    }

  6. 现在您需要关闭Cognito以接收您的电子邮件。进入您的AWS账户并导航到Cognito部分。选择您的用户池,然后点击MFA和验证。您将看到一个标题:您想要求验证电子邮件或电话号码吗?您必须在此处取消选中所有已选字段。完成后,您应该看到一个红色警报:您尚未选择电子邮件或电话号码验证,因此您的用户在没有联系您寻求支持的情况下将无法恢复密码。

  7. 现在您已告诉Cognito在用户在您的应用上注册时停止向您发送消息,您可以自己处理这一切。

顺便说一句:忘记密码的电子邮件将通过Cognito触发。您无法关闭它们,因此请确保将这些电子邮件样式化以满足您的需求。同时,请确保从正确的“发件人”地址发送电子邮件。

删除用户

如果您想让您用户能够从您的应用中自行删除,您可以使用我们从CognitoClient的deleteUser函数。

要删除用户,您应该调用deleteUser并传入用户的电子邮件作为参数。用户在您的Cognito池中被删除后,请也从您的数据库中删除您的用户。

    $cognitoClient->deleteUser($user->email);
    $user->delete();

我们实现了一个新的配置选项delete_user,您可以通过AWS_COGNITO_DELETE_USER环境变量来访问它。如果您将此配置设置为true,则用户将在Cognito池中被删除。如果设置为false,它将保持注册状态。默认情况下,此选项设置为false。如果您想启用此行为,您应将USE_SSO设置为true,以便用户在成功登录后自行恢复。

要访问我们的CognitoClient,您只需将其作为参数传递到您想要执行删除操作的控制器操作中。

    public function deleteUser(Request $request, CognitoClient $cognitoClient)

Laravel将自动处理依赖注入。

    IMPORTANT: You want to secure this action by maybe security questions, a second delete password or by confirming 
    the email address.

更新日志

有关最近更改的更多信息,请参阅更新日志

安全性

如果您发现任何与安全相关的问题,请通过电子邮件hello@blackbits.io联系,而不是使用问题跟踪器。

鸣谢

支持我们

Black Bits, Inc.是一家位于俄勒冈州格兰茨帕斯的专业从事Laravel和AWS的网站和咨询公司。您可以在我们的网站上找到我们做什么的概述在此

许可证

MIT许可证(MIT)。有关更多信息,请参阅许可证文件