Vic Lin的沙龍

Laravel Restful API with JWT Authentication

維克 (Vic Lin)-avatar-img
維克 (Vic Lin)
更新於 發佈於 閱讀時間約 10 分鐘


本筆記遵循官方文件教學,經過一些小修改,經測試可以跑在Laravel Framework version: 8.13.0,將筆記記錄下來。

Laravel installation

1. 使用composer安裝JWT:

如同這邊提到的: https://github.com/tymondesigns/jwt-auth/releases/tag/1.0.1
tymon/jwt-auth這個jwt套件目前最新版本為1.0.1,兼容支援Laravel 8。

在專案目錄下,下這個指令來安裝指定版本:
$ composer require tymon/jwt-auth "1.0.1"


2. Publish the config

發佈軟件包配置文件:
$ php artisan vendor:publish --provider="Tymon\JWTAuth\Providers\LaravelServiceProvider"


執行指令完畢後,會在config folder中產生一個jwt.php檔案,裡面有一些基本設定。

3. 產生secret key

$ php artisan jwt:secret

這個指令會更新.env檔案,新增類似JWT_SECRET=foobar的東西。
這個secret key是用來簽署token的,根據選擇的演算法來簽名。

raw-image

Quick start


1. 更新user model

加入
(1)use Tymon\JWTAuth\Contracts\JWTSubject;
(2) implements JWTSubject
(3) getJWTIdentifier(), getJWTCustomClaims()兩個method。
(4) table name若不是users,記得改一下。

raw-image
raw-image

2. Configure Auth guard

修改config/auth.php,原本為:

raw-image

改為如紅框這樣:

raw-image

3. 新增基本認證Routes

在routes/api.php加入:

use App\Http\Controllers\AuthController;

Route::group([
      'middleware' => 'api',
      'prefix' => 'user'
    ], function ($router) {
      Route::post('login', [AuthController::class, 'login']);
      Route::post('logout', [AuthController::class, 'logout']);
      Route::post('refresh', [AuthController::class, 'refresh']);
      Route::post('me', [AuthController::class, 'me']);
});


raw-image

4. 建立AuthController
$ php artisan make:controller AuthController


加入以下程式碼:
https://gist.github.com/snailsmall612/eef2082a9fae6a5943bee127eacc12cc

其中__construct中的那一行,意思是除了login這個method以外,其他api都要帶上access token才能存取!
$this->middleware('auth:api')=>表示使用auth middleware,傳入api參數。

5.Config DB

參考Laravel 8 Hello World這篇,不再贅述。

6.測試JWT

現在可以post到login這個endpoint測試看看:
http://localhost/laravel_jwt/public/api/user/login

raw-image


raw-image

可以看到在登入成功後,server會response一組access token給前端。
其中,在AuthController的login method中驗證使用者帳密,需特別注意資料庫中的密碼要使用BCrypt演算法來加密,如上圖該密碼即為123加密後的結果。

登入後,打http://localhost/laravel_jwt/public/api/user/me,header中帶上Authorization: Bearer ${access_token},就可以拿到user資料了!

raw-image

在登入狀態下refresh,可以換新token:
http://localhost/laravel_jwt/public/api/user/refresh

raw-image


接著測試登出:http://localhost/laravel_jwt/public/api/user/logout
由於剛剛有refresh,token要換成新的。

raw-image

值得一提的是,在login之後,所有其他api(me/logout/refresh),都須在header帶上access token,才能存取。

最後我們新增一個文章api,來測試看看。

raw-image
raw-image
raw-image
raw-image

建構子中這行$this->middleware('auth:api'); => 表示使用auth middleware,傳入api參數。
所以會先經過中間層,來驗證前端有無帶正確token過來。

這個middleware其實是定義在這:

raw-image
raw-image

然後我們打一下article api,故意不帶token:

raw-image

這是因為L18這行出現exception,為了讓api 更完善,修改一下app\Http\Middleware\Authenticate.php:

raw-image
<?php

namespace App\Http\Middleware;

use Illuminate\Auth\Middleware\Authenticate as Middleware;

class Authenticate extends Middleware
{
    protected function authenticate($request, array $guards){
        try{
            parent::authenticate($request, $guards);
        } catch (AuthenticationException $e){
            throw new UnauthorizedHttpException('JWTAuth', $e->getMessage());
        }
    }
}


再改一下app\Exceptions\Handler.php,加入紅框程式碼:

raw-image
use Illuminate\Auth\AuthenticationException;
raw-image
protected function unauthenticated($request, AuthenticationException $exception){
        return response()->json(['error' => 'Unauthenticated.'], 401);
}


接著我們打一下article api,故意不帶token,或者token故意帶錯誤的:

raw-image

這樣處理看起來好多了,沒帶token或者token錯誤都會回401。

完整Source code: https://github.com/snailsmall612/laravel-jwt

後記:

若要改User model name,可在config/auth.php中找到這段User::class,改成你的Xxx::class。

raw-image

AuthController login method 中的 auth()->attempt($credentials),就是直接拿這邊設定的model data來驗證。

若遇到這個錯誤:
TypeError: Argument 3 passed to Lcobucci\JWT\Signer\Hmac::doVerify() must be an instance of Lcobucci\JWT\Signer\Key, null given

解法:
$ php artisan key:generate
$ php artisan jwt:secret


本筆記參考:
1. https://jwt-auth.readthedocs.io/en/develop/
2. https://github.com/tymondesigns/jwt-auth/issues/1226
3. https://medium.com/@ZtuX/how-to-change-your-authentication-model-in-laravel-5-3-7a580a727d6f
4. https://stackoverflow.com/questions/53379271/jwt-authentication-error-argument-3-passed-to-lcobucci-jwt-signer-hmacdoverify

留言
avatar-img
留言分享你的想法!
avatar-img
Vic Lin的沙龍
20會員
161內容數
Vic Lin的沙龍的其他內容
2023/08/13
Vue 3.2 defineEmits 用法
父元件 傳遞方法使用@ <template>    ...    <Login @modalClose="modalClose"/> ... </template> <script setup>     const _modal = ref();     function m
2023/08/13
Vue 3.2 defineEmits 用法
父元件 傳遞方法使用@ <template>    ...    <Login @modalClose="modalClose"/> ... </template> <script setup>     const _modal = ref();     function m
2023/03/25
ASRock AMD DeskMini X300 超高CP自組筆記
前情提要 由於我的筆電已經用了10年,無法再戰下去了,且有預算考量,加上使用電腦幾乎都是定點,只有偶爾回家的時候會需要攜帶,因此最終選擇了迷你電腦,體積小不占空間,又方便攜帶,剛好符合我的需求。 菜單 由於這台無法裝獨顯,所以CPU的部分選擇 AMD R5 3400G(含Vega 11內
Thumbnail
2023/03/25
ASRock AMD DeskMini X300 超高CP自組筆記
前情提要 由於我的筆電已經用了10年,無法再戰下去了,且有預算考量,加上使用電腦幾乎都是定點,只有偶爾回家的時候會需要攜帶,因此最終選擇了迷你電腦,體積小不占空間,又方便攜帶,剛好符合我的需求。 菜單 由於這台無法裝獨顯,所以CPU的部分選擇 AMD R5 3400G(含Vega 11內
Thumbnail
2023/03/10
Nuxt3 使用 useFetch 取得數據
Nuxt3中可使用useFetch來獲取數據,不須再引用axios,相當方便: 本筆記參考: https://juejin.cn/post/7104071421160063012 https://juejin.cn/post/7086472647575339045
2023/03/10
Nuxt3 使用 useFetch 取得數據
Nuxt3中可使用useFetch來獲取數據,不須再引用axios,相當方便: 本筆記參考: https://juejin.cn/post/7104071421160063012 https://juejin.cn/post/7086472647575339045
看更多
你可能也想看
Thumbnail
avatar-avatar
方格子 vocus 官方沙龍
2025 下半場,蝦皮分潤計畫 x vocus 陪你回顧上半年的美好開箱!
2025 vocus 推出最受矚目的活動之一——《開箱你的美好生活》,我們跟著創作者一起「開箱」各種故事、景點、餐廳、超值好物⋯⋯甚至那些讓人會心一笑的生活小廢物;這次活動不僅送出了許多獎勵,也反映了「內容有價」——創作不只是分享、紀錄,也能用各種不同形式變現、帶來實際收入。
#vocusforBusiness#蝦皮#蝦皮分潤
Thumbnail
avatar-avatar
方格子 vocus 官方沙龍
2025 下半場,蝦皮分潤計畫 x vocus 陪你回顧上半年的美好開箱!
2025 vocus 推出最受矚目的活動之一——《開箱你的美好生活》,我們跟著創作者一起「開箱」各種故事、景點、餐廳、超值好物⋯⋯甚至那些讓人會心一笑的生活小廢物;這次活動不僅送出了許多獎勵,也反映了「內容有價」——創作不只是分享、紀錄,也能用各種不同形式變現、帶來實際收入。
#vocusforBusiness#蝦皮#蝦皮分潤
Thumbnail
avatar-avatar
方格子 vocus 官方沙龍
徵才:社群與內容行銷專員 (Community & Marketing Specialist)
嗨!歡迎來到 vocus vocus 方格子是台灣最大的內容創作與知識變現平台,並且計畫持續拓展東南亞等等國際市場。我們致力於打造讓創作者能夠自由發表、累積影響力並獲得實質收益的創作生態圈!「創作至上」是我們的核心價值,我們致力於透過平台功能與服務,賦予創作者更多的可能。 vocus 平台匯聚了
#vocus#徵才#社群行銷
Thumbnail
avatar-avatar
方格子 vocus 官方沙龍
徵才:社群與內容行銷專員 (Community & Marketing Specialist)
嗨!歡迎來到 vocus vocus 方格子是台灣最大的內容創作與知識變現平台,並且計畫持續拓展東南亞等等國際市場。我們致力於打造讓創作者能夠自由發表、累積影響力並獲得實質收益的創作生態圈!「創作至上」是我們的核心價值,我們致力於透過平台功能與服務,賦予創作者更多的可能。 vocus 平台匯聚了
#vocus#徵才#社群行銷
Thumbnail
avatar-avatar
Amber hh的沙龍
學習筆記 | 什麼是 JWT ?
上一篇筆記講到了瀏覽器與伺服器之間,經過身分驗證後,就會改以 Token 這個令牌作為通行證,不需要再反覆驗證,那麼這篇紀錄的就是目前最常使用的 JWT (JSON Web Token) 啦! 可以搭配 JWT 的網站來玩看看 JWT(JSON Web Token) 顧名思義就是以 JSON
Thumbnail
avatar-avatar
Amber hh的沙龍
學習筆記 | 什麼是 JWT ?
上一篇筆記講到了瀏覽器與伺服器之間,經過身分驗證後,就會改以 Token 這個令牌作為通行證,不需要再反覆驗證,那麼這篇紀錄的就是目前最常使用的 JWT (JSON Web Token) 啦! 可以搭配 JWT 的網站來玩看看 JWT(JSON Web Token) 顧名思義就是以 JSON
Thumbnail
avatar-avatar
DDDDD的沙龍
建立 Middleware 判斷登入JWT
首先先簡單說明 Laravel 中的 Middleware (中介層),Middleware 是一種用於處理 HTTP 請求的機制,它允許你在請求到達應用程序的路由之前或之後執行一些代碼。Middleware 通常用於執行諸如驗證、授權、日誌記錄、修改請求/響應等操作。
#Laravel#PHP#軟體筆記
Thumbnail
avatar-avatar
DDDDD的沙龍
建立 Middleware 判斷登入JWT
首先先簡單說明 Laravel 中的 Middleware (中介層),Middleware 是一種用於處理 HTTP 請求的機制,它允許你在請求到達應用程序的路由之前或之後執行一些代碼。Middleware 通常用於執行諸如驗證、授權、日誌記錄、修改請求/響應等操作。
#Laravel#PHP#軟體筆記
Thumbnail
avatar-avatar
DDDDD的沙龍
[筆記] JSON Web Token (JWT)
最近因為想要花些時間做完一個完整的SideProject,以前總是懂得怎麼使用,拼拼湊湊完成一個塞趴卷就交卷了,但都沒時間去真正理解這些原理的應用,而Laravel 框架本身支持的登入登出的工具,就有好多種。
#JWT#工程師筆記#軟體工程師
Thumbnail
avatar-avatar
DDDDD的沙龍
[筆記] JSON Web Token (JWT)
最近因為想要花些時間做完一個完整的SideProject,以前總是懂得怎麼使用,拼拼湊湊完成一個塞趴卷就交卷了,但都沒時間去真正理解這些原理的應用,而Laravel 框架本身支持的登入登出的工具,就有好多種。
#JWT#工程師筆記#軟體工程師
Thumbnail
avatar-avatar
KH Huang的沙龍
Golang - Gin #10: JWT驗證
哈囉!在今天的文章中,我們將深入探討如何在 Gin 應用中實現 JWT 驗證。這種技術允許我們安全地驗證和授權用戶,並確保我們的 API 或 Web 應用的資源僅被許可的用戶訪問。
#Golang#GolangLab#Gin
Thumbnail
avatar-avatar
KH Huang的沙龍
Golang - Gin #10: JWT驗證
哈囉!在今天的文章中,我們將深入探討如何在 Gin 應用中實現 JWT 驗證。這種技術允許我們安全地驗證和授權用戶,並確保我們的 API 或 Web 應用的資源僅被許可的用戶訪問。
#Golang#GolangLab#Gin
Thumbnail
avatar-avatar
小魚的沙龍
如何爲NextCloud添加SSL憑證
HTTPS全名是超文本傳輸安全協定,是瀏覽器與Web伺服器間的資料傳遞是以加密的方式進行通訊,而且資料隱私比http好。如果需要從外網連線到自己自己架設Nextcloud那就要改成https比較好,避免資料沒加密就傳送出去。 另外一點是如果iphone手機系統是IOS 15.6版的要連線到nextc
#nextcloud#Fedora#fedora
Thumbnail
avatar-avatar
小魚的沙龍
如何爲NextCloud添加SSL憑證
HTTPS全名是超文本傳輸安全協定,是瀏覽器與Web伺服器間的資料傳遞是以加密的方式進行通訊,而且資料隱私比http好。如果需要從外網連線到自己自己架設Nextcloud那就要改成https比較好,避免資料沒加密就傳送出去。 另外一點是如果iphone手機系統是IOS 15.6版的要連線到nextc
#nextcloud#Fedora#fedora
Thumbnail
avatar-avatar
張哲嘉的沙龍
[16] Json web token authentication --part1: JWT introduction
session & token 驗證機制早期是用 session,server 這裡會發一個 session 給 client,並在資料庫記錄這個 session 屬於誰,而且每個裝置都會記一組 session,這會造成 server 這邊需要記錄大量的資料。 後來發展出 token,client
#網頁開發
Thumbnail
avatar-avatar
張哲嘉的沙龍
[16] Json web token authentication --part1: JWT introduction
session & token 驗證機制早期是用 session,server 這裡會發一個 session 給 client,並在資料庫記錄這個 session 屬於誰,而且每個裝置都會記一組 session,這會造成 server 這邊需要記錄大量的資料。 後來發展出 token,client
#網頁開發
Thumbnail
avatar-avatar
Fufu的沙龍
學習Solidity之Hello world
開發工具與環境設置 安裝所需要工具 啟動 ganache-cli來啟動乙太坊測試環境 建立智能合約 HelloWorld.sol: 編譯 編譯成功的話,在build/contracts/目錄下會多出HelloWorld.json這個檔案 部署 2\_deploy\_contracts.js: 測試
#solidity#web3
Thumbnail
avatar-avatar
Fufu的沙龍
學習Solidity之Hello world
開發工具與環境設置 安裝所需要工具 啟動 ganache-cli來啟動乙太坊測試環境 建立智能合約 HelloWorld.sol: 編譯 編譯成功的話,在build/contracts/目錄下會多出HelloWorld.json這個檔案 部署 2\_deploy\_contracts.js: 測試
#solidity#web3
Thumbnail
avatar-avatar
Vic Lin的沙龍
Laravel Restful API with JWT Authentication
本筆記遵循官方文件教學,經過一些小修改,經測試可以跑在Laravel Framework version: 8.13.0,將筆記記錄下來。 ......
#Laravel#JWT#JSONWebToken
Thumbnail
avatar-avatar
Vic Lin的沙龍
Laravel Restful API with JWT Authentication
本筆記遵循官方文件教學,經過一些小修改,經測試可以跑在Laravel Framework version: 8.13.0,將筆記記錄下來。 ......
#Laravel#JWT#JSONWebToken
Thumbnail
avatar-avatar
Vic Lin的沙龍
JWT Authentication
JWT全名JSON Web Token,因符合RESTful API無狀態原則而誕生。 傳統我們通常會用cookie/session的方式來做身分認證,也就是user登入後,用session id當作一種token,來做身份認證。 然而用session這種方法server會有額外的儲存負擔...
#JSONWebToken#JWT
Thumbnail
avatar-avatar
Vic Lin的沙龍
JWT Authentication
JWT全名JSON Web Token,因符合RESTful API無狀態原則而誕生。 傳統我們通常會用cookie/session的方式來做身分認證,也就是user登入後,用session id當作一種token,來做身份認證。 然而用session這種方法server會有額外的儲存負擔...
#JSONWebToken#JWT
Thumbnail
avatar-avatar
阿Han的沙龍
【認證與授權】JWT(JSON Web Token)簡介
概念: 有限時間內可使用通行證來要求對應的操作權限。 JWT 的組成內容有三個部分,由 . 做區隔,最後透過這三個部分,串成一個 Jwt 字串 [HEADER].[PAYLOAD].[SIGNATURE] 1. Header: 主要記載認證的方法 {     "typ": "JWT",     "
#JWT#jsonwebtoken#後端
Thumbnail
avatar-avatar
阿Han的沙龍
【認證與授權】JWT(JSON Web Token)簡介
概念: 有限時間內可使用通行證來要求對應的操作權限。 JWT 的組成內容有三個部分,由 . 做區隔,最後透過這三個部分,串成一個 Jwt 字串 [HEADER].[PAYLOAD].[SIGNATURE] 1. Header: 主要記載認證的方法 {     "typ": "JWT",     "
#JWT#jsonwebtoken#後端
追蹤感興趣的內容從 Google News 追蹤更多 vocus 的最新精選內容追蹤 Google News