為什么要做隔離
當同一個laravel專案有多端(移動端、管理端......)都需要使用jwt做用戶驗證時,如果用戶表有多個(一般都會有),就需要做token隔離,不然會發生移動端的token也能請求管理端的問題,造成用戶越權,
會引發這個問題的原因是laravel的jwt token默認只會存盤資料表的主鍵的值,并沒有區分是那個表的,所以只要token里攜帶的ID在你的用戶表中都存在,就會導致越權驗證,
我們來看看laravel的jwt token 的原貌:
|
1
2
3
4
5
6
7
8
9
|
{
"iss": "http://your-request-url",
"iat": 1558668215,
"exp": 1645068215,
"nbf": 1558668215,
"jti": "XakIDuG7K0jeWGDi",
"sub": 1,
"prv": "92d5e8eb1b38ccd11476896c19b0e44512b2aacd"
}
|
攜帶資料的是sub欄位,其他欄位是jwt的驗證欄位,
我們只看到sub的值為1,并沒有說明是那個表或是哪個驗證器的,這個token通過你的驗證中間件時,你使用不同的guard就能拿到對應表id為1的用戶(了解guard請查看laravel的檔案),
解決辦法
想要解決用戶越權的問題,我們只要在token上帶上我們的自定義欄位,用來區分是哪個表或哪個驗證器生成的,然后再撰寫自己的中間件驗證我們的自定義欄位是否符合我們的預期,
添加自定義資訊到token
我們知道要使用jwt驗證,用戶模型必須要實作JWTSubject的介面(代碼取自jwt檔案):
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
|
<?php
namespace App;
use Tymon\JWTAuth\Contracts\JWTSubject;
use Illuminate\Notifications\Notifiable;
use Illuminate\Foundation\Auth\User as Authenticatable;
class User extends Authenticatable implements JWTSubject
{
use Notifiable;
// Rest omitted for brevity
/**
* Get the identifier that will be stored in the subject claim of the JWT.
*
* @return mixed
*/
public function getJWTIdentifier()
{
return $this->getKey();
}
/**
* Return a key value array, containing any custom claims to be added to the JWT.
*
* @return array
*/
public function getJWTCustomClaims()
{
return [];
}
}
|
我們可以看看實作的這兩個方法的作用:
- getJWTIdentifier的:獲取會儲存到jwt宣告中的標識,其實就是要我們回傳標識用戶表的主鍵欄位名稱,這里是回傳的是主鍵'id',
- getJWTCustomClaims:回傳包含要添加到jwt宣告中的自定義鍵值對陣列,這里回傳空陣列,沒有添加任何自定義資訊,
接下來我們就可以在實作了getJWTCustomClaims方法的用戶模型中添加我們的自定義資訊了,
管理員模型:
|
1
2
3
4
5
6
7
8
9
|
/**
* 額外在 JWT 載荷中增加的自定義內容
*
* @return array
*/
public function getJWTCustomClaims()
{
return ['role' => 'admin'];
}
|
移動端用戶模型:
|
1
2
3
4
5
6
7
8
9
|
/**
* 額外在 JWT 載荷中增加的自定義內容
*
* @return array
*/
public function getJWTCustomClaims()
{
return ['role' => 'user'];
}
|
這里添加了一個角色名作為用戶標識,
這樣管理員生成的token會像這樣:
|
1
2
3
4
5
6
7
8
9
10
|
{
"iss": "http://your-request-url",
"iat": 1558668215,
"exp": 1645068215,
"nbf": 1558668215,
"jti": "XakIDuG7K0jeWGDi",
"sub": 1,
"prv": "92d5e8eb1b38ccd11476896c19b0e44512b2aacd",
"role": "admin"
}
|
移動端用戶生成的token會像這樣:
|
1
2
3
4
5
6
7
8
9
10
|
{
"iss": "http://your-request-url",
"iat": 1558668215,
"exp": 1645068215,
"nbf": 1558668215,
"jti": "XakIDuG7K0jeWGDi",
"sub": 1,
"prv": "92d5e8eb1b38ccd11476896c19b0e44512b2aacd",
"role": "user"
}
|
我們可以看到這里多了一個我們自己加的role欄位,并且對應我們的用戶模型,
接下來我們自己寫一個中間件,決議token后判斷是否是我們想要的角色,對應就通過,不對應就報401就好了,
撰寫jwt角色校驗中間件
這里提供一個可全域使用的中間件(推薦用在用戶驗證中間件前):
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
|
<?php
/**
* Created by PhpStorm.
* User: wlalala
* Date: 2019-04-17
* Time: 13:55
*/
namespace App\Http\Middleware;
use Closure;
use Symfony\Component\HttpKernel\Exception\UnauthorizedHttpException;
use Tymon\JWTAuth\Exceptions\JWTException;
use Tymon\JWTAuth\Http\Middleware\BaseMiddleware;
class JWTRoleAuth extends BaseMiddleware
{
/**
* Handle an incoming request.
*
* @param $request
* @param Closure $next
* @param null $role
* @return mixed
*/
public function handle($request, Closure $next, $role = null)
{
try {
// 決議token角色
$token_role = $this->auth->parseToken()->getClaim('role');
} catch (JWTException $e) {
/**
* token決議失敗,說明請求中沒有可用的token,
* 為了可以全域使用(不需要token的請求也可通過),這里讓請求繼續,
* 因為這個中間件的責職只是校驗token里的角色,
*/
return $next($request);
}
// 判斷token角色,
if ($token_role != $role) {
throw new UnauthorizedHttpException('jwt-auth', 'User role error');
}
return $next($request);
}
}
|
注冊jwt角色校驗中間件
在app/Http/Kernel.php中注冊中間件:
|
1
2
3
4
5
6
7
8
9
10
11
12
13
|
/**
* The application's route middleware.
*
* These middleware may be assigned to groups or used individually.
*
* @var array
*/
protected $routeMiddleware = [
// ...省略 ...
// 多表jwt驗證校驗
'jwt.role' => \App\Http\Middleware\JWTRoleAuth::class,
];
|



鏈接:https://pan.baidu.com/s/1v5gm7n0L7TGyejCmQrMh2g 提取碼:x2p5
免費分享,但是X度限制嚴重,如若鏈接失效點擊鏈接或搜索加群 群號518475424,
使用jwt角色校驗中間件
接下來在需要用戶驗證的路由組中添加我們的中間件:
|
1
2
3
4
5
6
7
8
9
10
11
12
13
|
Route::group([
'middleware' => ['jwt.role:admin', 'jwt.auth'],
], function ($router) {
// 管理員驗證路由
// ...
});
Route::group([
'middleware' => ['jwt.role:user', 'jwt.auth'],
], function ($router) {
// 移動端用戶驗證路由
// ...
});
|
至此完成jwt多表用戶驗證隔離,
轉載請註明出處,本文鏈接:https://www.uj5u.com/houduan/124107.html
標籤:PHP
上一篇:PHP 將資料從 Laravel 傳送到 vue 的四種方式
下一篇:thinkphp 6.0 swoole擴展websocket使用教程