首頁 > php框架 > Laravel > Laravel jwt 多表驗證隔離

Laravel jwt 多表驗證隔離

步履不停
發布: 2019-07-03 14:18:28
原創
3690 人瀏覽過

Laravel jwt 多表驗證隔離

為什麼要做隔離

當同一個laravel專案有多端(行動端、管理端...)都需要使用jwt做使用者驗證時,如果用戶表有多個(一般都會有),就需要做token隔離,不然會發生行動端的token也能請求管理端​​的問題,造成用戶越權。

會引發這個問題的原因是laravel的jwt token預設只會儲存資料表的主鍵的值,並沒有區分是那個表的。所以只要token裡攜帶的ID在你的用戶表中都存在,就會導致越權驗證。

我們來看看laravel的jwt token 的原貌:

{
    "iss": "http://your-request-url",
    "iat": 1558668215,
    "exp": 1645068215,
    "nbf": 1558668215,
    "jti": "XakIDuG7K0jeWGDi",
    "sub": 1,
    "prv": "92d5e8eb1b38ccd11476896c19b0e44512b2aacd"
}
登入後複製

攜帶資料的是sub字段,其他字段是jwt的驗證字段。

我們只看到sub的值為1,並沒有說明是那個表格或是哪個驗證器的。當這個token通過你的驗證中間件時,你使用不同的guard就能拿到對應表id為1的用戶(了解guard請查看laravel的文檔)。

解決方案

想要解決用戶越權的問題,我們只要在token上帶上我們的自訂字段,用來區分是哪個表或哪個驗證器生成的,然後再編寫自己的中間件驗證我們的自訂欄位是否符合我們的預期。

新增自訂資訊到token

我們知道要使用jwt驗證,使用者模型必須要實作JWTSubject的介面(程式碼取自jwt文件):

<?php

namespace App;

use Tymon\JWTAuth\Contracts\JWTSubject;
use Illuminate\Notifications\Notifiable;
use Illuminate\Foundation\Auth\User as Authenticatable;

class User extends Authenticatable implements JWTSubject
{
    use Notifiable;

    // Rest omitted for brevity

    /**
     * Get the identifier that will be stored in the subject claim of the JWT.
     *
     * @return mixed
     */
    public function getJWTIdentifier()
    {
        return $this->getKey();
    }

    /**
     * Return a key value array, containing any custom claims to be added to the JWT.
     *
     * @return array
     */
    public function getJWTCustomClaims()
    {
        return [];
    }
}
登入後複製

我們可以看看實現的這兩個方法的作用:

  • getJWTIdentifier的:取得會儲存到jwt宣告中的標識,其實就是要我們傳回標識使用者表的主鍵欄位名稱,這裡是回傳的是主鍵'id',
  • getJWTCustomClaims:傳回包含要新增至jwt宣告中的自訂鍵值對數組,這裡傳回空數組,沒有新增任何自訂資訊。

接下來我們就可以在實作了getJWTCustomClaims方法的使用者模型中加入我們的自訂資訊了。

管理員模型:

/**
 * 额外在 JWT 载荷中增加的自定义内容
 *
 * @return array
 */
public function getJWTCustomClaims()
{
    return ['role' => 'admin'];
}
登入後複製

行動端使用者模型:

/**
 * 额外在 JWT 载荷中增加的自定义内容
 *
 * @return array
 */
public function getJWTCustomClaims()
{
    return ['role' => 'user'];
}
登入後複製

這裡新增了一個角色名稱作為使用者識別。

這樣管理員產生的token會像這樣:

{
    "iss": "http://your-request-url",
    "iat": 1558668215,
    "exp": 1645068215,
    "nbf": 1558668215,
    "jti": "XakIDuG7K0jeWGDi",
    "sub": 1,
    "prv": "92d5e8eb1b38ccd11476896c19b0e44512b2aacd",
    "role": "admin"
}
登入後複製

行動端使用者產生的token會像這樣:

{
    "iss": "http://your-request-url",
    "iat": 1558668215,
    "exp": 1645068215,
    "nbf": 1558668215,
    "jti": "XakIDuG7K0jeWGDi",
    "sub": 1,
    "prv": "92d5e8eb1b38ccd11476896c19b0e44512b2aacd",
    "role": "user"
}
登入後複製

我們可以看到這裡多了一個我們自己加的role字段,並且對應我們的用戶模型。

接下來我們自己寫一個中間件,解析token後判斷是否是我們想要的角色,對應就通過,不對應就報401就好了。

寫jwt角色校驗中間件

這裡提供一個可全域使用的中間件(推薦用在使用者驗證中間件前):

<?php
/**
 * Created by PhpStorm.
 * User: wlalala
 * Date: 2019-04-17
 * Time: 13:55
 */

namespace App\Http\Middleware;

use Closure;
use Symfony\Component\HttpKernel\Exception\UnauthorizedHttpException;
use Tymon\JWTAuth\Exceptions\JWTException;
use Tymon\JWTAuth\Http\Middleware\BaseMiddleware;

class JWTRoleAuth extends BaseMiddleware
{
    /**
     * Handle an incoming request.
     *
     * @param $request
     * @param Closure $next
     * @param null $role
     * @return mixed
     */
    public function handle($request, Closure $next, $role = null)
    {
        try {
            // 解析token角色
            $token_role = $this->auth->parseToken()->getClaim('role');
        } catch (JWTException $e) {
            /**
             * token解析失败,说明请求中没有可用的token。
             * 为了可以全局使用(不需要token的请求也可通过),这里让请求继续。
             * 因为这个中间件的责职只是校验token里的角色。
             */
            return $next($request);
        }

        // 判断token角色。
        if ($token_role != $role) {
            throw new UnauthorizedHttpException('jwt-auth', 'User role error');
        }

        return $next($request);
    }
}
登入後複製

註冊jwt角色校驗中間件

在app/Http/Kernel.php中註冊中間件:

    /**
     * The application's route middleware.
     *
     * These middleware may be assigned to groups or used individually.
     *
     * @var array
     */
    protected $routeMiddleware = [
        // ...省略 ...

        // 多表jwt验证校验
        'jwt.role' => \App\Http\Middleware\JWTRoleAuth::class,
    ];
登入後複製

使用jwt角色校驗中間件

接下來在需要使用者驗證的路由群組中新增我們的中間件:

Route::group([
    'middleware' => ['jwt.role:admin', 'jwt.auth'],
], function ($router) {
    // 管理员验证路由
    // ...
});

Route::group([
    'middleware' => ['jwt.role:user', 'jwt.auth'],
], function ($router) {
    // 移动端用户验证路由
    // ...
});
登入後複製

至此完成jwt多表使用者驗證隔離。

更多Laravel相關技術文章,請造訪Laravel教學專欄進行學習!

以上是Laravel jwt 多表驗證隔離的詳細內容。更多資訊請關注PHP中文網其他相關文章!

相關標籤:
來源:php.cn
本網站聲明
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn
熱門教學
更多>
最新下載
更多>
網站特效
網站源碼
網站素材
前端模板