php api token 验证,Laravel API Token 验证

清疚 2022-11-17 14:47 186阅读 0赞

记录一次Authorization 异常的插曲：

api.php有如下配置：

Route::middleware(‘auth:api‘)->post(‘/userfollowOrUnFollowCelebrity‘, ‘FollowController@followOrUnFollowCelebrity‘);

FollowController构造函数及对应方法如下：

public function \_\_construct()

$this->middleware(‘auth‘)->except(\[‘getFollowersData‘, ‘followOrUnFollowCelebrity‘, ‘getUserFollowedUsers‘\]);

$this->middleware(‘auth:api‘)->only(\[‘getFollowersData‘, ‘followOrUnFollowCelebrity‘, ‘getUserFollowedUsers‘\]);

public function followOrUnFollowCelebrity(Request $request)

$celebrity\_id = $request->get(‘celebrity‘);

if (is\_null($celebrity\_id)) \{

return response()->json(json\_encode(\[‘no available celebrity id‘\]));

$celebrity = User::query()->where(‘id‘, $celebrity\_id)->firstOrFail();

if (Auth::guard(‘api‘)->check()) \{

\} else \{

auth.php中guards如下：

‘guards‘ => \[

‘web‘ => \[

‘driver‘ => ‘session‘,

‘provider‘ => ‘users‘,

\],

‘api‘ => \[

‘driver‘ => ‘token‘,

‘provider‘ => ‘users‘,

‘hash‘ => true,

\],

数据库中用户已经有api\_token 但是死活验证不成功一直报 message: "Unauthenticated."

查了资料看到：

后 发现 原来用户表里我设置的api\_token时 直接设置 忘记了hash存入；

那么

’hash’=>false

就可以了。

更安全的参照下面：In order to make the login function working again, we have to run the hash function once on all the users. This can be done quickly by running the following command in php artisan tinker:

use App\\User;

User::all()->each(function ($user) \{

$user->update(\[‘api\_token‘ => hash(‘sha256‘, $user->api\_token)\]);

\});

有时候不起左右：

执行：

php artisan config:clear

From now on the user‘s API token is safely stored away in the database.

注意如果使用hash的api\_token，那么就不要在RegisterController中生成API token，而应该在登录或者刷新页面的同时，请求生成一个新的Api Token，生成后，网站数据库中存储一个副本然后返回token文本值给前端视图，阅后即焚，在该页面的post 或者ajax请求的时候上传比对，下次页面刷新或者登录的时候，又下一次生成一次性的Api Token存入数据库并返回一个json 给前端。

比如ApiTokenController：

namespace App\\Http\\Controllers;

use Illuminate\\Http\\Request;

class ApiTokenController extends Controller

public function update(Request $request)

$token = str\_random(80);

auth()->user()->forceFill(\[

‘api\_token‘ => hash(‘sha256‘, $token),

\])->save();

return \[‘token‘ => $token\];

注意这个也是生成一个hash结果然后存入数据库，前端收到的也是这个，然后如果api中

‘api‘ => \[