Laravel中jwt多表驗證隔離的實現方法

這篇文章將為大家詳細講解有關Laravel中jwt多表驗證隔離的實現方法，小編覺得挺實用的，因此分享給大家做個參考，希望大家閱讀完這篇文章后可以有所收獲。

JWT 多表驗證隔離

為什么要做隔離

當同一個 laravel 項目有多端（移動端、管理端......）都需要使用 jwt 做用戶驗證時，如果用戶表有多個（一般都會有），就需要做 token 隔離，不然會發生移動端的 token 也能請求管理端的問題，造成用戶越權。

會引發這個問題的原因是 laravel 的 jwt token 默認只會存儲數據表的主鍵的值，并沒有區分是那個表的。所以只要 token 里攜帶的 ID 在你的用戶表中都存在，就會導致越權驗證。

我們來看看 laravel 的 jwt token 的原貌：

{
 "iss": "http://your-request-url",
 "iat": 1558668215,
 "exp": 1645068215,
 "nbf": 1558668215,
 "jti": "XakIDuG7K0jeWGDi",
 "sub": 1
}

攜帶數據的是 sub 字段，其他字段是 jwt 的驗證字段。

我們只看到 sub 的值為 1，并沒有說明是那個表或是哪個驗證器的。這個 token 通過你的驗證中間件時，你使用不同的 guard 就能拿到對應表 id 為 1 的用戶（了解 guard 請查看 laravel 的文檔）。

解決辦法

想要解決用戶越權的問題，我們只要在 token 上帶上我們的自定義字段，用來區分是哪個表或哪個驗證器生成的，然后再編寫自己的中間件驗證我們的自定義字段是否符合我們的預期。

添加自定義信息到 token

我們知道要使用 jwt 驗證，用戶模型必須要實現 JWTSubject 的接口（代碼取自jwt 文檔）：

<?php

namespace App;

use Tymon\JWTAuth\Contracts\JWTSubject;
use Illuminate\Notifications\Notifiable;
use Illuminate\Foundation\Auth\User as Authenticatable;

class User extends Authenticatable implements JWTSubject
{
 use Notifiable;

 // Rest omitted for brevity

 /**
  * Get the identifier that will be stored in the subject claim of the JWT.
  *
  * @return mixed
  */
 public function getJWTIdentifier()
 {
  return $this->getKey();
 }

 /**
  * Return a key value array, containing any custom claims to be added to the JWT.
  *
  * @return array
  */
 public function getJWTCustomClaims()
 {
  return [];
 }
}

我們可以看看實現的這兩個方法的作用：

• getJWTIdentifier 的：獲取會儲存到 jwt 聲明中的標識，其實就是要我們返回標識用戶表的主鍵字段名稱，這里是返回的是主鍵 'id',

• getJWTCustomClaims：返回包含要添加到 jwt 聲明中的自定義鍵值對數組，這里返回空數組，沒有添加任何自定義信息。

接下來我們就可以在實現了 getJWTCustomClaims 方法的用戶模型中添加我們的自定義信息了。

管理員模型：

/**
 * 額外在 JWT 載荷中增加的自定義內容
 *
 * @return array
 */
public function getJWTCustomClaims()
{
 return ['role' => 'admin'];
}

移動端用戶模型：

/**
 * 額外在 JWT 載荷中增加的自定義內容
 *
 * @return array
 */
public function getJWTCustomClaims()
{
 return ['role' => 'user'];
}

這里添加了一個角色名作為用戶標識。

這樣管理員生成的 token 會像這樣：

{
 "iss": "http://your-request-url",
 "iat": 1558668215,
 "exp": 1645068215,
 "nbf": 1558668215,
 "jti": "XakIDuG7K0jeWGDi",
 "sub": 1,
 "role": "admin"
}

移動端用戶生成的 token 會像這樣：

{
 "iss": "http://your-request-url",
 "iat": 1558668215,
 "exp": 1645068215,
 "nbf": 1558668215,
 "jti": "XakIDuG7K0jeWGDi",
 "sub": 1,
 "role": "user"
}

我們可以看到這里多了一個我們自己加的 role 字段，并且對應我們的用戶模型。

接下來我們自己寫一個中間件，解析 token 后判斷是否是我們想要的角色，對應就通過，不對應就報 401 就好了。

編寫 jwt 角色校驗中間件

這里提供一個可全局使用的中間件 (推薦用在用戶驗證中間件前)：

<?php
/**
 * Created by PhpStorm.
 * User: wlalala
 * Date: 2019-04-17
 * Time: 13:55
 */

namespace App\Http\Middleware;

use Closure;
use Symfony\Component\HttpKernel\Exception\UnauthorizedHttpException;
use Tymon\JWTAuth\Exceptions\JWTException;
use Tymon\JWTAuth\Http\Middleware\BaseMiddleware;

class JWTRoleAuth extends BaseMiddleware
{
 /**
  * Handle an incoming request.
  *
  * @param $request
  * @param Closure $next
  * @param null $role
  * @return mixed
  */
 public function handle($request, Closure $next, $role = null)
 {
  try {
   // 解析token角色
   $token_role = $this->auth->parseToken()->getClaim('role');
  } catch (JWTException $e) {
   /**
    * token解析失敗，說明請求中沒有可用的token。
    * 為了可以全局使用（不需要token的請求也可通過），這里讓請求繼續。
    * 因為這個中間件的責職只是校驗token里的角色。
    */
   return $next($request);
  }

  // 判斷token角色。
  if ($token_role != $role) {
   throw new UnauthorizedHttpException('jwt-auth', 'User role error');
  }

  return $next($request);
 }
}

注冊 jwt 角色校驗中間件

在 app/Http/Kernel.php 中注冊中間件：

 /**
  * The application's route middleware.
  *
  * These middleware may be assigned to groups or used individually.
  *
  * @var array
  */
 protected $routeMiddleware = [
  // ...省略 ...

  // 多表jwt驗證校驗
  'jwt.role' => \App\Http\Middleware\JWTRoleAuth::class,
 ];

使用 jwt 角色校驗中間件

接下來在需要用戶驗證的路由組中添加我們的中間件:

Route::group([
 'middleware' => ['jwt.role:admin', 'jwt.auth'],
], function ($router) {
 // 管理員驗證路由
 // ...
});

Route::group([
 'middleware' => ['jwt.role:user', 'jwt.auth'],
], function ($router) {
 // 移動端用戶驗證路由
 // ...
});

至此完成 jwt 多表用戶驗證隔離。

關于“Laravel中jwt多表驗證隔離的實現方法”這篇文章就分享到這里了，希望以上內容可以對大家有一定的幫助，使各位可以學到更多知識，如果覺得文章不錯，請把它分享出去讓更多的人看到。