tappleby/laravel-auth-token

此包最新版本(0.3.4)无可用许可证信息。

维护者

详细信息

github.com/tappleby/laravel-auth-token

源代码

问题

安装数: 35,746

依赖者: 0

建议者: 0

安全: 0

星标: 255

关注者: 20

分支: 64

开放问题: 18

0.3.4 2014-06-22 17:04 UTC

Requires

Requires (Dev)

Unknown License af564e69cce893d3488337b89224ef6a013d0ff8

  • Terry Appleby <terry.appleby.woop@gmail.com>

This package is not auto-updated.

Last update: 2024-09-28 15:29:43 UTC

README

集成到laravel auth模块,在成功时提供认证令牌。此令牌仅在https环境下真正安全。此模块的主要目的是为javascript web应用提供认证令牌,用于在API调用中识别用户。

Build Status

升级到Laravel 4.1? 请参阅重大变更

入门

设置

使用 composer 安装此包。

$ composer require tappleby/laravel-auth-token:0.3.*

将服务提供者添加到 app/config/app.php

'Tappleby\AuthToken\AuthTokenServiceProvider',

app/config/app.php 中设置可选别名

'AuthToken' => 'Tappleby\Support\Facades\AuthToken',
'AuthTokenNotAuthorizedException' => 'Tappleby\AuthToken\Exceptions\NotAuthorizedException'

当前认证令牌存储在数据库中,您需要运行迁移

php artisan migrate --package=tappleby/laravel-auth-token
可选配置

此包默认使用电子邮件作为用户名字段进行验证,这可以通过包配置进行更改。

  1. 发布配置 php artisan config:publish tappleby/laravel-auth-token
  2. 编辑 app/config/packages/tappleby/laravel-auth-token/config.php 中的 format_credentials 闭包

示例 - 仅验证活动用户并检查用户名列而不是电子邮件

'format_credentials' => function ($username, $password) {
	return array(
		'username' => $username,
		'password' => $password,
		'active' => true
	);
}

您可以在用户认证处了解更多关于laravel Auth模块的信息

控制器

提供默认控制器以授权、检查和吊销令牌。将以下内容添加到 app/routes.php

Route::get('auth', 'Tappleby\AuthToken\AuthTokenController@index');
Route::post('auth', 'Tappleby\AuthToken\AuthTokenController@store');
Route::delete('auth', 'Tappleby\AuthToken\AuthTokenController@destroy');

CORS 支持

默认情况下,此库不包含CORS支持,但可以通过以下包启用:barryvdh/laravel-cors

配置将具体到您的路由设置。如果您使用的是 X-Auth-Token 标头,请将其添加到 allowedHeaders 配置中。请参阅包文档以获取进一步的配置详细信息。

以下是一个使用默认 auth 路由的示例

'paths' => array(
    'auth' => array(
        'allowedOrigins' => array('*'),
        'allowedHeaders' => array('Content-Type', 'X-Auth-Token'),
        'allowedMethods' => array('POST', 'PUT', 'GET', 'DELETE'),
        'maxAge' => 3600,
    )
),

注意:如果您知道 allowedOrigins 的列表,最好明确定义它们而不是使用通配符 *

请求参数

所有请求都必须包含以下之一

  1. X-Auth-Token 标头。
  2. auth_token 字段。
GET 索引操作

以JSON返回当前用户。需要提供认证令牌参数。失败时抛出 NotAuthorizedException

POST 存储操作

必需输入 usernamepassword。成功返回包含 tokenuser 的JSON对象。失败时抛出 NotAuthorizedException

DELETE 销毁操作

清除用户令牌。需要提供认证令牌参数。失败时抛出 NotAuthorizedException

NotAuthorizedException 默认具有 401 错误代码。

路由过滤器

服务提供者注册了 auth.token 路由过滤器。要保护资源,只需注册一个before过滤器。如果有效的认证令牌无效或不存在,则过滤器将抛出 NotAuthorizedException

Route::group(array('prefix' => 'api', 'before' => 'auth.token'), function() {
  Route::get('/', function() {
    return "Protected resource";
  });
});

事件

当提供有效的认证令牌时,路由过滤器将触发 auth.token.valid 事件,并带有授权用户。

Event::listen('auth.token.valid', function($user)
{
  //Token is valid, set the user on auth system.
  Auth::setUser($user);
});

AuthTokenController::store 在返回响应之前将触发 auth.token.created

Event::listen('auth.token.created', function($user, $token)
{
	$user->load('relation1', 'relation2');
});

AuthTokenController::destroy 在返回响应之前将触发 auth.token.deleted

处理 NotAuthorizedException

可选注册NotAuthorizedException为别名,例如AuthTokenNotAuthorizedException

App::error(function(AuthTokenNotAuthorizedException $exception) {
  if(Request::ajax()) {
    return Response::json(array('error' => $exception->getMessage()), $exception->getCode());
  }
  
  …Handle non ajax response…
});

将Laravel Auth与AuthToken结合使用。

某些应用可能已经使用了传统的基于Laravel的认证。以下方法可以手动生成令牌。

if(Auth::check()) {
  $authToken = AuthToken::create(Auth::user());
  $publicToken = AuthToken::publicToken($authToken);
}

AuthToken::publicToken方法准备将认证令牌发送到浏览器。

变更

0.3.0

  • 添加了auth.token.created事件,该事件在AuthTokenController::store返回响应之前触发。
  • AuthTokenController需要将事件分发器传递给构造函数。

0.2.0

  • 增加了对Laravel 4.1.X的支持。这是由于L4.1中的API变更导致的硬依赖。
  • 移除了AuthTokenController的facade,必须使用完整命名空间来访问控制器。请参阅控制器部分
  • 为Auth::attempt字段提供可选配置。

技巧:使用jQuery

使用jQuery的ajaxPrefilter方法,可以在ajax请求中自动设置X-Auth-Token。

// Register ajax prefilter. If app config contains auth_token will automatically set header,
$.ajaxPrefilter(function (options, originalOptions, jqXHR) {
  if (config.auth_token) {
    jqXHR.setRequestHeader('X-Auth-Token', config.auth_token);
  }
});

如果收到401响应代码,也可以自动处理。在以下示例中,我选择重定向到注销页面以确保用户会话被销毁。

// If a 401 http error is recieved, automatically redirect to logout page.
$(document).ajaxError(function (event, jqxhr) {
  if (jqxhr && jqxhr.status === 401) {
    window.location = '/logout';
  }
});

技巧:自动将令牌数据绑定到视图中。

可以使用视图生成器来自动将数据绑定到视图中。这可以将逻辑集中在一个地方。我使用以下方法设置javascript的配置变量。

View::composer('layouts.default', function($view)
{
  $rootUrl = rtrim(URL::route('home'), '/');

  $jsConfig = isset($view->jsConfig) ? $view->jsConfig : array();

  $jsConfig = array_merge(array(
    'rootUrl' =>  $rootUrl
  ), $jsConfig);

  if(Auth::check()) {

    $authToken = AuthToken::create(Auth::user());
    $publicToken = AuthToken::publicToken($authToken);

    $userData = array_merge(
      Auth::user()->toArray(),
      array('auth_token' => $publicToken)
    );

    $jsConfig['userData'] = $userData;
  }

  $view->with('jsConfig', $jsConfig);
});