Vic Lin的沙龍

Laravel Restful API with JWT Authentication

Vic Lin
Vic Lin
閱讀時間約 10 分鐘

本筆記遵循官方文件教學,經過一些小修改,經測試可以跑在Laravel Framework version: 8.13.0,將筆記記錄下來。

Laravel installation

1. 使用composer安裝JWT:
如同這邊提到的: https://github.com/tymondesigns/jwt-auth/releases/tag/1.0.1
tymon/jwt-auth這個jwt套件目前最新版本為1.0.1,兼容支援Laravel 8。

在專案目錄下,下這個指令來安裝指定版本:
$ composer require tymon/jwt-auth "1.0.1"

2. Publish the config
發佈軟件包配置文件:
$ php artisan vendor:publish --provider="Tymon\JWTAuth\Providers\LaravelServiceProvider"

執行指令完畢後,會在config folder中產生一個jwt.php檔案,裡面有一些基本設定。
3. 產生secret key

$ php artisan jwt:secret
這個指令會更新.env檔案,新增類似JWT_SECRET=foobar的東西。
這個secret key是用來簽署token的,根據選擇的演算法來簽名。

Quick start


1. 更新user model
加入
(1)use Tymon\JWTAuth\Contracts\JWTSubject;
(2) implements JWTSubject
(3) getJWTIdentifier(), getJWTCustomClaims()兩個method。
(4) table name若不是users,記得改一下。
2. Configure Auth guard
修改config/auth.php,原本為:
改為如紅框這樣:
3. 新增基本認證Routes
在routes/api.php加入:
use App\Http\Controllers\AuthController;
Route::group([
      'middleware' => 'api',
      'prefix' => 'user'
    ], function ($router) {
      Route::post('login', [AuthController::class, 'login']);
      Route::post('logout', [AuthController::class, 'logout']);
      Route::post('refresh', [AuthController::class, 'refresh']);
      Route::post('me', [AuthController::class, 'me']);
});






4. 建立AuthController
$ php artisan make:controller AuthController



加入以下程式碼:
https://gist.github.com/snailsmall612/eef2082a9fae6a5943bee127eacc12cc


其中__construct中的那一行,意思是除了login這個method以外,其他api都要帶上access token才能存取!
$this->middleware('auth:api')=>表示使用auth middleware,傳入api參數。


5.Config DB


參考Laravel 8 Hello World這篇,不再贅述。


6.測試JWT


現在可以post到login這個endpoint測試看看:
http://localhost/laravel_jwt/public/api/user/login








可以看到在登入成功後,server會response一組access token給前端。
其中,在AuthController的login method中驗證使用者帳密,需特別注意資料庫中的密碼要使用BCrypt演算法來加密,如上圖該密碼即為123加密後的結果。


登入後,打http://localhost/laravel_jwt/public/api/user/me,header中帶上Authorization: Bearer ${access_token},就可以拿到user資料了!




在登入狀態下refresh,可以換新token:
http://localhost/laravel_jwt/public/api/user/refresh






接著測試登出:http://localhost/laravel_jwt/public/api/user/logout
由於剛剛有refresh,token要換成新的。




值得一提的是,在login之後,所有其他api(me/logout/refresh),都須在header帶上access token,才能存取。




最後我們新增一個文章api,來測試看看。










建構子中這行$this->middleware('auth:api'); => 表示使用auth middleware,傳入api參數。
所以會先經過中間層,來驗證前端有無帶正確token過來。


這個middleware其實是定義在這:






然後我們打一下article api,故意不帶token:




這是因為L18這行出現exception,為了讓api 更完善,修改一下app\Http\Middleware\Authenticate.php:




<?php
namespace App\Http\Middleware;
use Illuminate\Auth\Middleware\Authenticate as Middleware;
class Authenticate extends Middleware
{
    protected function authenticate($request, array $guards){
        try{
            parent::authenticate($request, $guards);
        } catch (AuthenticationException $e){
            throw new UnauthorizedHttpException('JWTAuth', $e->getMessage());
        }
    }
}




再改一下app\Exceptions\Handler.php,加入紅框程式碼:




use Illuminate\Auth\AuthenticationException;




protected function unauthenticated($request, AuthenticationException $exception){
        return response()->json(['error' => 'Unauthenticated.'], 401);
}




接著我們打一下article api,故意不帶token,或者token故意帶錯誤的:




這樣處理看起來好多了,沒帶token或者token錯誤都會回401。


完整Source code: https://github.com/snailsmall612/laravel-jwt




後記:


若要改User model name,可在config/auth.php中找到這段User::class,改成你的Xxx::class。




AuthController login method 中的 auth()->attempt($credentials),就是直接拿這邊設定的model data來驗證。




若遇到這個錯誤:
TypeError: Argument 3 passed to Lcobucci\JWT\Signer\Hmac::doVerify() must be an instance of Lcobucci\JWT\Signer\Key, null given


解法:
$ php artisan key:generate
$ php artisan jwt:secret




本筆記參考: 
1. https://jwt-auth.readthedocs.io/en/develop/
2. https://github.com/tymondesigns/jwt-auth/issues/1226
3. https://medium.com/@ZtuX/how-to-change-your-authentication-model-in-laravel-5-3-7a580a727d6f
4. https://stackoverflow.com/questions/53379271/jwt-authentication-error-argument-3-passed-to-lcobucci-jwt-signer-hmacdoverify
為什麼會看到廣告
Vic Lin的沙龍
20會員
161內容數
留言0
查看全部
發表第一個留言支持創作者!
Vic Lin的沙龍 的其他內容
CSRF攻擊與防禦
閱讀時間約 12 分鐘
SQL Injection 攻擊與防禦
閱讀時間約 3 分鐘
在Windows 安裝 Laravel 環境
閱讀時間約 2 分鐘
Laravel 8 Hello World
閱讀時間約 1 分鐘
Laravel Ajax Example
閱讀時間約 2 分鐘
JWT Authentication
閱讀時間約 5 分鐘
你可能也想看
創作者要怎麼好好休息 + 避免工作過量?《黑貓創作報#4》午安,最近累不累?
這篇不是虛假的關心。而是《黑貓創作報》發行以來可能最重要的一篇。
是的,我們這篇講怎麼補充能量,也就是怎麼休息。

Thumbnail
avatar
黑貓老師
2024-06-29
#創作#作者#社群
防曬產品係數測試報告彙整(2024年)從2014年起,自己對於市售防曬產品的效能產生了濃厚的興趣。因為當時候發現不少產品的防曬係數其實標示是有問題的,像是原本應該是人體測試的SPF與PA數值,實際上沒有做,只用機器測試的數據來充當,但這兩者卻有很大的差異。像是防曬係數其實有強度、廣度與平均度三個面向需要一起判斷,但多數廠商並沒有完整標示
Thumbnail
avatar
邱品齊皮膚科醫師
2023-04-27
#防曬#檢測#防曬係數
[Laravel] 設定並上傳檔案到AWS S3Simple Storage Service (S3) 是 AWS 最常應用到的服務,只要是需要將檔案上傳到雲端的狀況都可以使用S3,本篇文章將介紹如何設定與使用AWS S3。
Thumbnail
avatar
Hankz
2024-03-20
#Laravel#AWS#S3
[Laravel] 使用Supervisor執行Laravel的Queue Worker在使用laravel中的Queue job的時候
如果希望job中斷還可以重新啟動這個時候就會需要用到Supervisor了
本篇文章為您帶來如何使用Supervisor執行Laravel的queue:work的教學
Thumbnail
avatar
Hankz
2024-03-13
#PHP#Laravel#Queue
[Laravel] 客製化你的Laravel: macro有的時候,會希望在物件導向中對原生的Class新增功能的時候,大多我們都會寫一個新的class並繼承。
但是其實Laravel提供了一個不同的方式,讓我們可以在常用的Class上,直接新增想要的function,那就是macro。
Thumbnail
avatar
Hankz
2024-03-04
#Laravel#PHP
Laravel的migration簡介Migration在 Laravel 中是一種用來管理資料庫結構變更的機制。它的主要目的是使開發者能夠在應用程序的不同環境中保持資料庫結構的一致性,並輕鬆地進行結構變更
avatar
傑克李
2024-01-04
Laravel 安全性,七種開發人員常犯的錯誤待業中後,發現時間變很多就開始東看看西看看,思考著要如何更深入理解Laravel框架的運用,而在Laravel框架中哪些部分是框架替我們做了哪些處理,推薦一個影片給大家一起學習理解。

Thumbnail
avatar
DDDDD
2023-12-13
#Laravel#XSS#閱讀筆記
GraphQL 與 RESTful API 應用的場景與分析這裡會針 GraphQL 與 RESTful API 這兩者介面所需要做的事情來比較其應用的場景。
Thumbnail
avatar
Sponge | 一塊海綿
2023-02-09
#開發#GraphQL#RESTful
API3 dAPI 在 Polygon、BNB Chain、Avalanche 和 RSK 上可用Polygon、BNB Chain、Avalanche 和 RSK 上的去中心化應用程序現在可以訪問 dAPI 以從 API3 的第一方預言機 Airnode 獲取加密貨幣價格數據
訪問API3 市場以訪問 dAPI。
關於 API3
☯ ☯ ☯ ☯ ☯ ☯ ☯ ☯ ☯

Thumbnail
avatar
Lesley Selaludicakiti
2022-07-19
搭建一個 Laravel 開發環境(Linux, Nginx, MySQL and PHP)Development environment of Laravel. Nginx, php, mysql and centos 7
Thumbnail
avatar
yuanchin
2022-06-19
#Laravel#Nginx#MySQL