laravel5.5安装jwt-auth 生成token令牌的示例
1:首先通过composer进行安装
composer require tymon/jwt-auth
2:添加服务提供者
编辑 config/app.php,在 "providers" 添加:
'Tymon\JWTAuth\Providers\JWTAuthServiceProvider',
3:添加 Facades
编辑 config/app.php,在 "alias" 添加:
'JWTAuth' => 'Tymon\JWTAuth\Facades\JWTAuth',
'JWTFactory' => 'Tymon\JWTAuth\Facades\JWTFactory',
4:发布配置文件:
php artisan vendor:publish --provider="Tymon\JWTAuth\Providers\JWTAuthServiceProvider"
5:生成 secret key
: php artisan jwt:generate
安装完成后,执行 php artisan jwt:generate,会报错:
(1).Method Tymon\JWTAuth\Commands\JWTGenerateCommand::handle() does not exist
解决方法,这个需要修改源码:
编辑 vendor/tymon/jwt-auth/src/Commands/JWTGenerateCommand.php,新增:
/**
* Compatiblity with Laravel >= 5.5
*/
public function handle()
{
$this->fire();
}
(2)如果未添加服务提供者,直接执行该命令,可能也会报错!
There are no commands defined in the "jwt" namespace
解决方法:
就是上面的添加服务提供者
配置(Configuration)
secret(secret key) - 秘钥
用来签名 token 的秘钥。作者将秘钥与 Laravel 的 APP_KEY 分开,以便开发者可以独立地修改它们。
提供了一个 artisan 命令,为我们生成一个随机秘钥。(php artisan jwt:generate)
ttl(token time to live) - token 生存时间
token 的有效时间,以分钟为单位。建议尽可能设置短点,尤其是当我们也使用 token 刷新机制。
refresh_ttl(refresh time to live) - refresh 生存时间
可以刷新 token 的有效时间,以分钟为单位。例如,如果设置为 2周,那么只能在 2周 内,刷新对应的 token,否则将会抛出 TokenExpiredException 异常。如果超过了刷新的有效时间,必须生成一个全新的 token,这意味着用户需要重新登录。
注:ttl 和 refresh_ttl,用于保持用户的登录状态
algo(hashing algorithm) - hash 算法
用于签名 token 的算法,保留默认值即可
user(user model path) - 用户模型路径
应该指向我们项目的 User 类的命名空间路径
identifier(user identifier) - 用户标识
从 token 的主题声明中,根据什么标识来检索用户(一般是 id)
required_claims(required claims)
这些声明必须存在于 token 的 payload 中,否则将抛出 TokenInvalidException 异常(会检测 token 的 payload 是否存在这些声明)
blacklist_enabled(blacklist enabled)
如果设置为 false,将无法使 token 失效。虽然我们仍然可以刷新令牌,但是之前的令牌仍旧有效,因此这样做非常不安全。但对于非常简单的实现,可能不需要额外的开销(刷新 token 等),我们可以配置它。
providers
jwt-auth 包已经有一些具体实现,可用来实现各种需求。只要遵循相关接口,我们就可以覆盖这些具体实现。
providers.user
指定基于主题声明,来查找用户的实现。
providers.jwt
完成 token 的编码和解码的繁重工作
providers.auth
通过凭证或 id 来认证用户
providers.storage
用于驱动黑名单,并存储 token 直到过期。
创建 tokens(Creating Tokens)
jwt-auth 包为我们提供了创建 token 的多种方法。有简单的方法,如果你想更好的控制,也有更进一步的方法。
开箱即用(out of box),有许多必须的声明,虽然这些都可以配置:
sub(Subject) - 包含 token 的标识符(默认是用户 ID)
iat(Issued At) - token 发布时间(unix 时间戳)
exp(Expiry) - token 过期日期(unix 时间戳)
nbf(Not Before) - 可以使用 token 的最早时间点(unix 时间戳)
iss(Issuer) - token 发布者(默认为请求的 url)
jti(JWT Id) - token 的唯一标识符(sub 和 iat 声明的 md5 值)
aud(Audience) - token 的目标受众(默认不需要)
也允许自定义声明。稍后会介绍。
创建一个基于用户凭证的 token
创建 token 的最常用方法是,通过用户的登录凭证,来认证用户。如果认证成功,则返回一个与该用户相关的 token。例如,假设我们有一个 Laravel AuthenticateController
use JWTAuth;
use Tymon\JWTAuth\Exceptions\JWTException;
class AuthenticateController extends Controller
{
public function authenticate(Request $request)
{
// grab credentials from the request
$credentials = $request->only('email', 'password');
try {
// attempt to verify the credentials and create a token for the user
if (! $token = JWTAuth::attempt($credentials)) {
return response()->json(['error' => 'invalid_credentials'], 401);
}
} catch (JWTException $e) {
// something went wrong whilst attempting to encode the token
return response()->json(['error' => 'could_not_create_token'], 500);
}
// all good so return the token
return response()->json(compact('token'));
}
}
创建一个基于用户对象的 token
我们可以跳过用户认证,只传递一个用户对象
$user = User::first(); $token = JWTAuth::fromUser($user);
上面的 2 个方法也有第二个参数,可以传递一个 '自定义声明' 的数组
在解码 token 时,这些自定义声明,将和其他声明一起提供。
注意:添加大量的自定义声明,将增加 token 的大小
创建一个基于任意你喜欢的内容的 token
作者给我们提供了对底层类和方法的访问,来提供高级的、可自定义的功能。
示例使用了内建的 'Tymon\JWTAuth\PayloadFactory' 实例(或者使用 JWTFactory 门面):
$customClaims = ['foo' => 'bar', 'baz' => 'bob']; $payload = JWTFactory::make($customClaims); $token = JWTAuth::encode($payload);
也可以在 'Tymon\JWTAuth\PayloadFactory' 实例上链式调用声明(或者使用 JWTFactory 门面):
$payload = JWTFactory::sub(123)->aud('foo')->foo(['bar' => 'baz']);
$token = JWTAuth::encode($payload);
认证(Authentication)
一旦用户使用他们的凭证登录,下一步将使用 token 发起一个后续请求,来检索用户详情,以便我们可以将其显示为已登录。
使用内置方法,通过 http 发起认证请求,我们需要设置一个 Authorization 请求头,如下所示:
Authorization: Bearer {yourtokenhere}
Apache 用户需要注意:
Apache 好像会丢弃 Authorization 请求头,如果该请求头不是 base64 编码的 user/pass 组合。为了解决此问题,我们可以在 apache 配置文件中添加一下内容:
RewriteEngine On
RewriteCond %{HTTP:Authorization} ^(.*)
RewriteRule .* - [e=HTTP_AUTHORIZATION:%1]
或者,我们可以通过在查询字符串中包含 token 来实现:
http://api.mysite.com/me?token={yourtokenhere}
为了从请求中获取 token,我们可以:
// 会设置 token 到返回的对象中 JWTAuth::parseToken(); // 接着,我们可以继续链式调用方法 $user = JWTAuth::parseToken()->authenticate();
为了获取 token 的值,我们可以调用:
$token = JWTAuth::getToken();
如果设置了一个 token,则会返回 token,否则(为方便起见),它将使用上述方法,尝试从请求中解析 token,如果没有设置 token 或 没有 token 可以被解析,最终返回 false。
当然,如果在我们的程序中有其他入口点,我们也可以根据需要手动设置 token。例如:
JWTAuth::setToken('foo.bar.baz');
从 token 中检索认证过的用户
public function getAuthenticatedUser()
{
try {
if(! $user = JWTAuth::parseToken()->authenticate()){
return response()->json('user_not_found', 404);
}
} catch (Tymon\JWTAuth\Exceptions\TokenExpiredException $e) {
return response()->json(['token_expired'], $e->getStatusCode());
} catch (Tymon\JWTAuth\Exceptions\TokenInvalidException $e) {
return response()->json(['token_invalid'], $e->getStatusCode());
} catch (Tymon\JWTAuth\Exceptions\JWTException $e) {
return response()->json(['token_absent'], $e->getStatusCode());
}
return response()->json(compact('user'));
}
如果不喜欢内联捕获多个异常的方法,我们可以随意使用 Laravel 添加全局异常处理程序。
在 app/Exceptions/Handler.php 中,将下面代码添加到 render() 方法:
public function render($request, Exception $e)
{
if ($e instanceof Tymon\JWTAuth\Exceptions\TokenExpiredException) {
return response()->json(['token_expired'], $e->getStatusCode());
} else if ($e instanceof Tymon\JWTAuth\Exceptions\TokenInvalidException) {
return response()->json(['token_invalid'], $e->getStatusCode());
}
return parent::render($request, $e);
}
中间件和过滤器
如果我们使用的是 Laravel 5,可以使用内置的 2 个中间件:
GetUserFromToken
检查请求头和查询字符串(正如上面解释过的)是否存在 token,并尝试解码 token。如上所述,同样的事件被触发。
RefreshToken
此中间件将再次尝试从请求中解析 token,然后将刷新 token(从而使旧 token 失效),并将其作为下一次响应的一部分返回。这实际上产生了单个使用 token 流,如果 token 被泄露,这种方式会减少攻击,因为它仅对单个请求有效。
为了使用这 2 个中间件,我们需要将它们注册到 app/Http/Kernel.php 里的 $routeMIddleware 属性:
protected $routeMiddleware = [
...
'jwt.auth' => 'Tymon\JWTAuth\Middleware\GetUserFromToken',
'jwt.refresh' => 'Tymon\JWTAuth\Middleware\RefreshToken',
];
以上这篇laravel5.5安装jwt-auth 生成token令牌的示例就是小编分享给大家的全部内容了,希望能给大家一个参考,也希望大家多多支持我们。
相关推荐
-
Laravel (Lumen) 解决JWT-Auth刷新token的问题
Laravel(Lumen)中使用JWT-Auth遇到一个问题,即token如何刷新. 一开始不太理解作者的设计思想,看了很多issue之后,慢慢明白jwt-refresh如何使用. 建一个路由,比如"auth/refresh-token" ,可以指向某个方法,也可以直接写个匿名函数. $app->post('auth/refresh-token', ['middleware' => 'jwt.refresh', function() { try { $old_token
-
laravel 5.5 关闭token的3种实现方式
方法一: 关闭掉选中的那一行 整个项目可全部关闭token 方法二: 在middleware的verifyCsrfTkoen.php中添加函数方法 handle 可以在项目整个禁用token; 方法三: 定义在 protected $except = [ '屏蔽掉不用提交token的路由'], 这个可以在项目屏蔽掉部分路由不用使用token,使用起来更灵活 以上这篇laravel 5.5 关闭token的3种实现方式就是小编分享给大家的全部内容了,希望能给大家一个参考,也希望大家多多支持我们.
-
Laravel实现ApiToken认证请求
1.打开 database/migrations/2014_10_12_000000_create_users_table.php 这个 migration 文件, 我们需要更改 user 表的结构 2.我们需要为 user 表添加 api_token 字段, 也就是说我们的 token 是保存在数据库中的, 在合适的位置, 添加一行 $table->string('api_token', 60)->unique(); 3.配置好数据库, 通过 php artisan migrate 命令生成
-
Laravel5.4简单实现app接口Api Token认证方法
我是小白,今天写这篇文章主要是给新手学习看的,大佬就不用看了,有很多不足望大家指出,共同进步. 在开发中许多 API 通常在返回响应之前都需要某种形式的认证,有些时候,一个认证的请求和一个未认证的请求,响应可能不同. 在web项目中,实现认证比较轻松,那么前后端分离的项目中,我们要怎么实现认证,今天这篇文章就以 API token 认证机制,使用Token可以解决laravel API的无状态认证. 一.给用户表users增加api_token字段 php artisan make:migrat
-
laravel5.5安装jwt-auth 生成token令牌的示例
1:首先通过composer进行安装 composer require tymon/jwt-auth 2:添加服务提供者 编辑 config/app.php,在 "providers" 添加: 'Tymon\JWTAuth\Providers\JWTAuthServiceProvider', 3:添加 Facades 编辑 config/app.php,在 "alias" 添加: 'JWTAuth' => 'Tymon\JWTAuth\Facades\JWTA
-
SpringBoot集成JWT生成token及校验方法过程解析
GitHub源码地址:https://github.com/zeng-xian-guo/springboot_jwt_token.git 封装JTW生成token和校验方法 public class JwtTokenUtil { //公用密钥-保存在服务端,客户端是不会知道密钥的,以防被攻击 public static String SECRET = "ThisIsASecret"; //生成Troke public static String createToken(String u
-
token工作机制及原理附Java生成token工具类
什么是token Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码. 基于 Token 的身份验证使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录.流程是这样的:客户端使用用户名跟密码请求登录服务端收到请求,去验证用户名与密码验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端客户端收到 T
-
.net core api接口JWT方式认证Token
一.项目>管理Nuget包 安装 二..appsettings.json添加 "JWT": { "Secret": "~!@#$%^&*()_+qwertyuiopasldkh[o51485421ajshk^%*)kasd", // 密钥 "Issuer": "kfjdhf", // 颁发者 "Audience": "kfjdhf", // 接收者 //
-
SpringBoot-JWT生成Token和拦截器的使用(访问受限资源)
目录 1.什么是JWT 2.JWT生成token 2.1 添加依赖 2.2 生成token 2.3 使用拦截器解析token 1.什么是JWT JWT官方的定义是:JSON Web令牌(JWT)是一个开放标准(RFC 7519),用于作为JSON对象在各方之间安全地传输信息. 可以验证和信任该信息,因为它是数字签名的. jwt可以使用一个秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名. 其实他本质上就是一个签名,用于验证用户是否可以请求受限资源(例如在商城中向服务器请求个
-
php实现JWT(json web token)鉴权实例详解
JWT是什么 JWT是json web token缩写.它将用户信息加密到token里,服务器不保存任何用户信息.服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证.基于token的身份验证可以替代传统的cookie+session身份验证方法. JWT由三个部分组成:header.payload.signature 以下示例以JWT官网为例 header部分: { "alg": "HS256", "typ": "JWT
-
基于springboot+jwt实现刷新token过程解析
前一段时间讲过了springboot+jwt的整合,但是因为一些原因(个人比较懒)并没有更新关于token的刷新问题,今天跟别人闲聊,聊到了关于业务中token的刷新方式,所以在这里我把我知道的一些点记录一下,也希望能帮到一些有需要的朋友,同时也希望给我一些建议,话不多说,上代码! 1:这种方式为在线刷新,比方说设定的token有效期为30min,那么每次访问资源时,都会在拦截器中去判断一下token是否过期,如果没有过期就刷新token的时间为30min,反之则会重新登录,需要注意的是这种方式
-
nuxt 自定义 auth 中间件实现令牌的持久化操作
核心点就是在process.server下,把之前存在 cookie 中的数据再用store.commit一下 auth.js /* eslint-disable no-unused-vars */ /* eslint-disable no-useless-return */ export const TokenKey = 'Admin-token' /** * 解析服务端拿到的cookie * @param {*} cookie * @param {*} key */ export funct
-
SpringBoot整合JWT框架,解决Token跨域验证问题
一.传统Session认证 1.认证过程 1.用户向服务器发送用户名和密码. 2.服务器验证后在当前对话(session)保存相关数据. 3.服务器向返回sessionId,写入客户端 Cookie. 4.客户端每次请求,需要通过 Cookie,将 sessionId 回传服务器. 5.服务器收到 sessionId,验证客户端. 2.存在问题 1.session保存在服务端,客户端访问高并发时,服务端压力大. 2.扩展性差,服务器集群,就需要 session 数据共享. 二.JWT简介 JWT
-
Java如何实现登录token令牌
目录 一.流程图 二.Token 三.分析 四.运行结果 一.流程图 二.Token 1.token是一种客户端认证机制,是一个经过加密的字符串,安全性强,支持跨域 2.用户第一次登录,服务器通过数据库校验其UserId和Password合法,则再根据随机数字+userid+当前时间戳再经过DES加密生成一个token串 当然具体生成token的方式是开发自己定义的 3.token的生成一般是采用uuid保证唯一性,当用户登录时为其生成唯一的token,存储一般保存在数据库中 token过期时间