Laravel jwt 多表(多用户端)验证隔离的实现
Tips: tymon/jwt-auth 作者已通过增加 prv 字段修复这一问题#1167,但是如果你是用 dingo api + jwt 的话,该问题依然存在。#
JWT 多表验证隔离
为什么要做隔离
当同一个 laravel 项目有多端(移动端、管理端......)都需要使用 jwt 做用户验证时,如果用户表有多个(一般都会有),就需要做 token 隔离,不然会发生移动端的 token 也能请求管理端的问题,造成用户越权。
会引发这个问题的原因是 laravel 的 jwt token 默认只会存储数据表的主键的值,并没有区分是那个表的。所以只要 token 里携带的 ID 在你的用户表中都存在,就会导致越权验证。
我们来看看 laravel 的 jwt token 的原貌:
"iss": "http://your-request-url", "iat": 1558668215, "exp": 1645068215, "nbf": 1558668215, "jti": "XakIDuG7K0jeWGDi", "sub": 1
携带数据的是 sub 字段,其他字段是 jwt 的验证字段。
我们只看到 sub 的值为 1,并没有说明是那个表或是哪个验证器的。这个 token 通过你的验证中间件时,你使用不同的 guard 就能拿到对应表 id 为 1 的用户(了解 guard 请查看 laravel 的文档)。
解决办法
想要解决用户越权的问题,我们只要在 token 上带上我们的自定义字段,用来区分是哪个表或哪个验证器生成的,然后再编写自己的中间件验证我们的自定义字段是否符合我们的预期。
添加自定义信息到 token
我们知道要使用 jwt 验证,用户模型必须要实现 JWTSubject 的接口(代码取自jwt 文档):
<?php namespace App; use Tymon\JWTAuth\Contracts\JWTSubject; use Illuminate\Notifications\Notifiable; use Illuminate\Foundation\Auth\User as Authenticatable; class User extends Authenticatable implements JWTSubject use Notifiable; // Rest omitted for brevity /** * Get the identifier that will be stored in the subject claim of the JWT. * * @return mixed */ public function getJWTIdentifier() return $this->getKey(); /** * Return a key value array, containing any custom claims to be added to the JWT. * * @return array */ public function getJWTCustomClaims() return ;
我们可以看看实现的这两个方法的作用:
- getJWTIdentifier 的:获取会储存到 jwt 声明中的标识,其实就是要我们返回标识用户表的主键字段名称,这里是返回的是主键 'id',
- getJWTCustomClaims:返回包含要添加到 jwt 声明中的自定义键值对数组,这里返回空数组,没有添加任何自定义信息。
接下来我们就可以在实现了 getJWTCustomClaims 方法的用户模型中添加我们的自定义信息了。
管理员模型:
/** * 额外在 JWT 载荷中增加的自定义内容 * * @return array */ public function getJWTCustomClaims() return 'role' => 'admin';
移动端用户模型:
/** * 额外在 JWT 载荷中增加的自定义内容 * * @return array */ public function getJWTCustomClaims() return 'role' => 'user';
这里添加了一个角色名作为用户标识。
这样管理员生成的 token 会像这样:
"iss": "http://your-request-url", "iat": 1558668215, "exp": 1645068215, "nbf": 1558668215, "jti": "XakIDuG7K0jeWGDi", "sub": 1, "role": "admin"
移动端用户生成的 token 会像这样:
"iss": "http://your-request-url", "iat": 1558668215, "exp": 1645068215, "nbf": 1558668215, "jti": "XakIDuG7K0jeWGDi", "sub": 1, "role": "user"
我们可以看到这里多了一个我们自己加的 role 字段,并且对应我们的用户模型。
接下来我们自己写一个中间件,解析 token 后判断是否是我们想要的角色,对应就通过,不对应就报 401 就好了。
编写 jwt 角色校验中间件
这里提供一个可全局使用的中间件 (推荐用在用户验证中间件前):
<?php /** * Created by PhpStorm. * User: wlalala * Date: 2019-04-17 * Time: 13:55 */ namespace App\Http\Middleware; use Closure; use Symfony\Component\HttpKernel\Exception\UnauthorizedHttpException; use Tymon\JWTAuth\Exceptions\JWTException; use Tymon\JWTAuth\Http\Middleware\BaseMiddleware; class JWTRoleAuth extends BaseMiddleware /** * Handle an incoming request. * * @param $request * @param Closure $next * @param null $role * @return mixed */ public function handle($request, Closure $next, $role = null) try // 解析token角色 $token_role = $this->auth->parseToken()->getClaim('role'); catch (JWTException $e) /** * token解析失败,说明请求中没有可用的token。 * 为了可以全局使用(不需要token的请求也可通过),这里让请求继续。 * 因为这个中间件的责职只是校验token里的角色。 */ return $next($request); // 判断token角色。 if ($token_role != $role) throw new UnauthorizedHttpException('jwt-auth', 'User role error'); return $next($request);
注册 jwt 角色校验中间件
在 app/Http/Kernel.php 中注册中间件:
/** * The application's route middleware. * * These middleware may be assigned to groups or used individually. * * @var array */ protected $routeMiddleware = // ...省略 ... // 多表jwt验证校验 'jwt.role' => \App\Http\Middleware\JWTRoleAuth::class, ;
使用 jwt 角色校验中间件
接下来在需要用户验证的路由组中添加我们的中间件:
Route::group( 'middleware' => 'jwt.role:admin', 'jwt.auth', , function ($router) // 管理员验证路由 // ... ); Route::group( 'middleware' => 'jwt.role:user', 'jwt.auth', , function ($router) // 移动端用户验证路由 // ... );
至此完成 jwt 多表用户验证隔离。
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持我们。
上一篇:PHP利用缓存处理用户注册时的邮箱验证,成功后用户数据存入数据库操作示例
栏 目:PHP编程
下一篇:PHP架构及原理知识点详解
本文标题:Laravel jwt 多表(多用户端)验证隔离的实现
本文地址:https://www.xiuzhanwang.com/a1/PHPbiancheng/11010.html
您可能感兴趣的文章
- 01-11Laravel 微信小程序后端搭建步骤详解
- 01-11Laravel框架Blade模板简介及模板继承用法分析
- 01-11Laravel 微信小程序后端实现用户登录的示例代码
- 01-11Laravel框架基础语法与知识点整理模板变量、输出、include引入
- 01-11Laravel框架Eloquent ORM删除数据操作示例
- 01-11Laravel框架Eloquent ORM修改数据操作示例
- 01-11Laravel框架Eloquent ORM简介、模型建立及查询数据操作详解
- 01-11laravel5.1框架下的批量赋值实现方法分析
- 01-11laravel5.5框架的上传图片功能实例分析仅传到服务器端
- 01-11Laravel框架下载,安装及路由操作图文详解
阅读排行
本栏相关
- 04-02php本站才可以请求数据 php本地数据库
- 04-02关于txt数据库php的信息
- 04-02php打印请求数据 php打印输出结果
- 04-02网页里php操作数据库 php网页例子
- 04-02php插入数据库为乱码 php连接数据库乱
- 04-02php数据库地址 phpstudy 数据库
- 04-02php数据库数据相加 php数据库添加数据
- 04-02数据权限架构思路php 数据权限设计方
- 04-02php数据库输入变量 php里输出数据库数
- 04-02php如何用导入数据 php用来导入其他文
随机阅读
- 01-11Mac OSX 打开原生自带读写NTFS功能(图文
- 08-05DEDE织梦data目录下的sessions文件夹有什
- 01-10SublimeText编译C开发环境设置
- 08-05织梦dedecms什么时候用栏目交叉功能?
- 08-05dedecms(织梦)副栏目数量限制代码修改
- 01-10delphi制作wav文件的方法
- 04-02jquery与jsp,用jquery
- 01-11ajax实现页面的局部加载
- 01-10C#中split用法实例总结
- 01-10使用C语言求解扑克牌的顺子及n个骰子