跳到内容
Laravel

Laravel Sanctum

简介

Laravel Sanctum 为 SPA(单页应用程序)、移动应用程序和简单的基于令牌的 API 提供了一个轻量级的身份验证系统。Sanctum 允许您的应用程序的每个用户为其帐户生成多个 API 令牌。这些令牌可以被授予能力/作用域,这些能力/作用域指定了允许令牌执行哪些操作。

工作原理

Laravel Sanctum 的存在是为了解决两个不同的问题。让我们在深入研究该库之前讨论每个问题。

API 令牌

首先,Sanctum 是一个简单的软件包,您可以使用它向用户颁发 API 令牌,而无需 OAuth 的复杂性。此功能的灵感来自 GitHub 和其他颁发“个人访问令牌”的应用程序。例如,想象一下您的应用程序的“帐户设置”有一个屏幕,用户可以在其中为其帐户生成 API 令牌。您可以使用 Sanctum 生成和管理这些令牌。这些令牌通常具有非常长的过期时间(数年),但用户可以随时手动撤销它们。

Laravel Sanctum 通过将用户 API 令牌存储在单个数据库表中,并通过应包含有效 API 令牌的 Authorization 标头验证传入的 HTTP 请求来提供此功能。

SPA 身份验证

其次,Sanctum 的存在是为了提供一种简单的方法来验证需要与 Laravel 驱动的 API 通信的单页应用程序 (SPA)。这些 SPA 可能与您的 Laravel 应用程序存在于同一个存储库中,也可能是一个完全独立的存储库,例如使用 Next.js 或 Nuxt 创建的 SPA。

对于此功能,Sanctum 不使用任何类型的令牌。相反,Sanctum 使用 Laravel 内置的基于 cookie 的会话身份验证服务。通常,Sanctum 利用 Laravel 的 web 身份验证守卫来实现此目的。这提供了 CSRF 保护、会话身份验证的好处,并防止了通过 XSS 泄露身份验证凭据。

当传入的请求来自您自己的 SPA 前端时,Sanctum 只会尝试使用 cookie 进行身份验证。当 Sanctum 检查传入的 HTTP 请求时,它会首先检查身份验证 cookie,如果没有,Sanctum 将检查 Authorization 标头中是否有有效的 API 令牌。

lightbulb

仅将 Sanctum 用于 API 令牌身份验证或仅用于 SPA 身份验证是完全可以的。仅仅因为您使用了 Sanctum 并不意味着您必须使用它提供的两个功能。

安装

您可以通过 install:api Artisan 命令安装 Laravel Sanctum

php artisan install:api

接下来,如果您计划使用 Sanctum 验证 SPA,请参阅此文档的 SPA 身份验证部分。

配置

覆盖默认模型

尽管通常不是必需的,但您可以自由扩展 Sanctum 内部使用的 PersonalAccessToken 模型

use Laravel\Sanctum\PersonalAccessToken as SanctumPersonalAccessToken;
 
class PersonalAccessToken extends SanctumPersonalAccessToken
{
    // ...
}

然后,您可以通过 Sanctum 提供的 usePersonalAccessTokenModel 方法指示 Sanctum 使用您的自定义模型。通常,您应该在应用程序的 AppServiceProvider 文件的 boot 方法中调用此方法

use App\Models\Sanctum\PersonalAccessToken;
use Laravel\Sanctum\Sanctum;
 
/**
 * Bootstrap any application services.
 */
public function boot(): void
{
    Sanctum::usePersonalAccessTokenModel(PersonalAccessToken::class);
}

API 令牌认证

lightbulb

您不应使用 API 令牌来验证您自己的第一方 SPA。相反,请使用 Sanctum 的内置 SPA 身份验证功能

颁发 API 令牌

Sanctum 允许您颁发 API 令牌/个人访问令牌,这些令牌可用于验证对您的应用程序的 API 请求。使用 API 令牌发出请求时,该令牌应作为 Bearer 令牌包含在 Authorization 标头中。

要开始为用户颁发令牌,您的 User 模型应使用 Laravel\Sanctum\HasApiTokens trait

use Laravel\Sanctum\HasApiTokens;
 
class User extends Authenticatable
{
    use HasApiTokens, HasFactory, Notifiable;
}

要颁发令牌,您可以使用 createToken 方法。createToken 方法返回 Laravel\Sanctum\NewAccessToken 实例。API 令牌在使用 SHA-256 哈希存储在数据库中之前进行哈希处理,但您可以使用 NewAccessToken 实例的 plainTextToken 属性访问令牌的纯文本值。您应该在创建令牌后立即向用户显示此值

use Illuminate\Http\Request;
 
Route::post('/tokens/create', function (Request $request) {
    $token = $request->user()->createToken($request->token_name);
 
    return ['token' => $token->plainTextToken];
});

您可以使用 HasApiTokens trait 提供的 tokens Eloquent 关系访问所有用户的令牌

foreach ($user->tokens as $token) {
    // ...
}

令牌能力

Sanctum 允许您为令牌分配“能力”。能力的作用与 OAuth 的“作用域”类似。您可以将字符串能力数组作为第二个参数传递给 createToken 方法

return $user->createToken('token-name', ['server:update'])->plainTextToken;

在处理由 Sanctum 验证的传入请求时,您可以使用 tokenCan 方法确定令牌是否具有给定的能力

if ($user->tokenCan('server:update')) {
    // ...
}

令牌能力中间件

Sanctum 还包括两个中间件,可用于验证传入请求是否已使用已授予给定能力的令牌进行身份验证。要开始使用,请在应用程序的 bootstrap/app.php 文件中定义以下中间件别名

use Laravel\Sanctum\Http\Middleware\CheckAbilities;
use Laravel\Sanctum\Http\Middleware\CheckForAnyAbility;
 
->withMiddleware(function (Middleware $middleware) {
    $middleware->alias([
        'abilities' => CheckAbilities::class,
        'ability' => CheckForAnyAbility::class,
    ]);
})

可以将 abilities 中间件分配给路由,以验证传入请求的令牌是否具有所有列出的能力

Route::get('/orders', function () {
    // Token has both "check-status" and "place-orders" abilities...
})->middleware(['auth:sanctum', 'abilities:check-status,place-orders']);

可以将 ability 中间件分配给路由,以验证传入请求的令牌是否具有至少一个列出的能力

Route::get('/orders', function () {
    // Token has the "check-status" or "place-orders" ability...
})->middleware(['auth:sanctum', 'ability:check-status,place-orders']);

第一方 UI 发起的请求

为了方便起见,如果传入的身份验证请求来自您的第一方 SPA,并且您正在使用 Sanctum 的内置 SPA 身份验证,则 tokenCan 方法将始终返回 true

然而,这并不一定意味着您的应用程序必须允许用户执行该操作。通常,您的应用程序的授权策略将决定令牌是否已被授予执行这些能力的权限,并检查用户实例本身是否应该被允许执行该操作。

例如,如果我们设想一个管理服务器的应用程序,这可能意味着检查令牌是否有权更新服务器以及该服务器是否属于该用户。

return $request->user()->id === $server->user_id &&
       $request->user()->tokenCan('server:update')

起初,允许调用 tokenCan 方法并且对于第一方 UI 发起的请求总是返回 true 似乎很奇怪;但是,能够始终假设 API 令牌可用并通过 tokenCan 方法进行检查是很方便的。通过采用这种方法,您可以始终在应用程序的授权策略中调用 tokenCan 方法,而无需担心请求是从应用程序的 UI 触发还是由 API 的第三方使用者发起的。

保护路由

要保护路由以使所有传入请求都必须经过身份验证,您应该将 sanctum 身份验证守卫附加到您的 routes/web.phproutes/api.php 路由文件中的受保护路由。此守卫将确保传入请求经过身份验证,要么是状态化的、基于 cookie 身份验证的请求,要么是来自第三方的请求包含有效的 API 令牌头。

您可能想知道为什么我们建议您使用 sanctum 守卫在应用程序的 routes/web.php 文件中对路由进行身份验证。请记住,Sanctum 将首先尝试使用 Laravel 的典型会话身份验证 cookie 对传入请求进行身份验证。如果不存在该 cookie,则 Sanctum 将尝试使用请求的 Authorization 标头中的令牌对请求进行身份验证。此外,使用 Sanctum 对所有请求进行身份验证可确保我们始终可以在当前经过身份验证的用户实例上调用 tokenCan 方法。

use Illuminate\Http\Request;
 
Route::get('/user', function (Request $request) {
    return $request->user();
})->middleware('auth:sanctum');

撤销令牌

您可以使用 Laravel\Sanctum\HasApiTokens trait 提供的 tokens 关系从数据库中删除令牌来“撤销”令牌。

// Revoke all tokens...
$user->tokens()->delete();
 
// Revoke the token that was used to authenticate the current request...
$request->user()->currentAccessToken()->delete();
 
// Revoke a specific token...
$user->tokens()->where('id', $tokenId)->delete();

令牌过期

默认情况下,Sanctum 令牌永远不会过期,只能通过撤销令牌来使其失效。但是,如果您想为应用程序的 API 令牌配置过期时间,您可以通过应用程序的 sanctum 配置文件中定义的 expiration 配置选项来实现。此配置选项定义了颁发的令牌将被视为过期之前的分钟数。

'expiration' => 525600,

如果您想单独指定每个令牌的过期时间,您可以通过将过期时间作为第三个参数传递给 createToken 方法来实现。

return $user->createToken(
    'token-name', ['*'], now()->addWeek()
)->plainTextToken;

如果您为应用程序配置了令牌过期时间,您可能还希望安排一个任务来清理应用程序中过期的令牌。幸运的是,Sanctum 包含一个 sanctum:prune-expired Artisan 命令,您可以使用它来完成此操作。例如,您可以配置一个计划任务来删除至少过期 24 小时的所有过期令牌数据库记录。

use Illuminate\Support\Facades\Schedule;
 
Schedule::command('sanctum:prune-expired --hours=24')->daily();

SPA 身份验证

Sanctum 还旨在提供一种简单的身份验证单页应用程序 (SPA) 的方法,这些应用程序需要与 Laravel 支持的 API 进行通信。这些 SPA 可能与您的 Laravel 应用程序位于同一个存储库中,也可能位于一个完全独立的存储库中。

对于此功能,Sanctum 不使用任何类型的令牌。相反,Sanctum 使用 Laravel 内置的基于 cookie 的会话身份验证服务。这种身份验证方法提供了 CSRF 保护、会话身份验证的好处,并防止通过 XSS 泄露身份验证凭据。

exclamation

为了进行身份验证,您的 SPA 和 API 必须共享相同的顶级域名。但是,它们可以放置在不同的子域上。此外,您应确保在请求中发送 Accept: application/json 标头以及 RefererOrigin 标头。

配置

配置您的第一方域名

首先,您应该配置您的 SPA 将从中发出请求的域名。您可以使用 sanctum 配置文件中的 stateful 配置选项来配置这些域名。此配置设置确定在向 API 发出请求时,哪些域将使用 Laravel 会话 cookie 维护“有状态”身份验证。

exclamation

如果您通过包含端口的 URL (127.0.0.1:8000) 访问应用程序,您应确保在域名中包含端口号。

Sanctum 中间件

接下来,您应该指示 Laravel,来自 SPA 的传入请求可以使用 Laravel 的会话 cookie 进行身份验证,同时仍然允许来自第三方或移动应用程序的请求使用 API 令牌进行身份验证。这可以通过在应用程序的 bootstrap/app.php 文件中调用 statefulApi 中间件方法轻松实现。

->withMiddleware(function (Middleware $middleware) {
    $middleware->statefulApi();
})

CORS 和 Cookie

如果您在从在单独子域上执行的 SPA 对应用程序进行身份验证时遇到问题,则可能是您错误配置了 CORS(跨域资源共享)或会话 cookie 设置。

默认情况下不发布 config/cors.php 配置文件。如果您需要自定义 Laravel 的 CORS 选项,您应该使用 config:publish Artisan 命令发布完整的 cors 配置文件。

php artisan config:publish cors

接下来,您应该确保应用程序的 CORS 配置返回 Access-Control-Allow-Credentials 标头,其值为 True。可以通过将应用程序 config/cors.php 配置文件中的 supports_credentials 选项设置为 true 来实现。

此外,您应该在应用程序的全局 axios 实例上启用 withCredentialswithXSRFToken 选项。通常,这应该在您的 resources/js/bootstrap.js 文件中执行。如果您不使用 Axios 从前端发出 HTTP 请求,您应该在自己的 HTTP 客户端上执行等效的配置。

axios.defaults.withCredentials = true;
axios.defaults.withXSRFToken = true;

最后,您应该确保应用程序的会话 cookie 域配置支持根域的任何子域。您可以通过在应用程序的 config/session.php 配置文件中以 . 前缀域名来实现。

'domain' => '.domain.com',

认证

CSRF 保护

要对您的 SPA 进行身份验证,您的 SPA 的“登录”页面应首先向 /sanctum/csrf-cookie 端点发出请求,以初始化应用程序的 CSRF 保护。

axios.get('/sanctum/csrf-cookie').then(response => {
    // Login...
});

在此请求期间,Laravel 将设置一个包含当前 CSRF 令牌的 XSRF-TOKEN cookie。然后,此令牌应在后续请求的 X-XSRF-TOKEN 标头中传递,一些 HTTP 客户端库(如 Axios 和 Angular HttpClient)会自动为您执行此操作。如果您的 JavaScript HTTP 库没有为您设置该值,您需要手动设置 X-XSRF-TOKEN 标头以匹配此路由设置的 XSRF-TOKEN cookie 的值。

登录

初始化 CSRF 保护后,您应该向 Laravel 应用程序的 /login 路由发出 POST 请求。此 /login 路由可以手动实现,也可以使用无头身份验证包(如 Laravel Fortify)实现。

如果登录请求成功,您将通过 Laravel 应用程序颁发给您的客户端的会话 cookie 自动对您的应用程序路由的后续请求进行身份验证。此外,由于您的应用程序已经向 /sanctum/csrf-cookie 路由发出了请求,只要您的 JavaScript HTTP 客户端在 X-XSRF-TOKEN 标头中发送 XSRF-TOKEN cookie 的值,后续请求应自动接收 CSRF 保护。

当然,如果您的用户的会话由于缺乏活动而过期,则对 Laravel 应用程序的后续请求可能会收到 401 或 419 HTTP 错误响应。在这种情况下,您应该将用户重定向到 SPA 的登录页面。

exclamation

您可以自由编写自己的 /login 端点;但是,您应该确保它使用 Laravel 提供的标准基于会话的身份验证服务对用户进行身份验证。通常,这意味着使用 web 身份验证守卫。

保护路由

要保护路由以使所有传入请求都必须经过身份验证,您应该将 sanctum 身份验证守卫附加到 routes/api.php 文件中的 API 路由。此守卫将确保传入请求经过身份验证,要么是来自 SPA 的状态化身份验证请求,要么是来自第三方的请求包含有效的 API 令牌头。

use Illuminate\Http\Request;
 
Route::get('/user', function (Request $request) {
    return $request->user();
})->middleware('auth:sanctum');

授权私有广播频道

如果您的 SPA 需要使用 私有/存在广播频道进行身份验证,您应该从应用程序的 bootstrap/app.php 文件中包含的 withRouting 方法中删除 channels 条目。相反,您应该调用 withBroadcasting 方法,以便您可以为应用程序的广播路由指定正确中间件。

return Application::configure(basePath: dirname(__DIR__))
    ->withRouting(
        web: __DIR__.'/../routes/web.php',
        // ...
    )
    ->withBroadcasting(
        __DIR__.'/../routes/channels.php',
        ['prefix' => 'api', 'middleware' => ['api', 'auth:sanctum']],
    )

接下来,为了使 Pusher 的授权请求成功,您需要在初始化 Laravel Echo 时提供自定义 Pusher authorizer。这允许您的应用程序配置 Pusher 以使用为跨域请求正确配置的 axios 实例。

window.Echo = new Echo({
    broadcaster: "pusher",
    cluster: import.meta.env.VITE_PUSHER_APP_CLUSTER,
    encrypted: true,
    key: import.meta.env.VITE_PUSHER_APP_KEY,
    authorizer: (channel, options) => {
        return {
            authorize: (socketId, callback) => {
                axios.post('/api/broadcasting/auth', {
                    socket_id: socketId,
                    channel_name: channel.name
                })
                .then(response => {
                    callback(false, response.data);
                })
                .catch(error => {
                    callback(true, error);
                });
            }
        };
    },
})

移动应用程序身份验证

您还可以使用 Sanctum 令牌对您的移动应用程序对 API 的请求进行身份验证。移动应用程序请求的身份验证过程与第三方 API 请求的身份验证过程类似;但是,在如何颁发 API 令牌方面存在细微差异。

颁发 API 令牌

要开始使用,请创建一个路由,该路由接受用户的电子邮件/用户名、密码和设备名称,然后将这些凭据交换为新的 Sanctum 令牌。赋予此端点的“设备名称”仅用于提供信息,并且可以是您想要的任何值。一般来说,设备名称值应该是用户可以识别的名称,例如“Nuno 的 iPhone 12”。

通常,您将从移动应用程序的“登录”屏幕向令牌端点发出请求。该端点将返回纯文本 API 令牌,然后可以将其存储在移动设备上,并用于发出其他 API 请求。

use App\Models\User;
use Illuminate\Http\Request;
use Illuminate\Support\Facades\Hash;
use Illuminate\Validation\ValidationException;
 
Route::post('/sanctum/token', function (Request $request) {
    $request->validate([
        'email' => 'required|email',
        'password' => 'required',
        'device_name' => 'required',
    ]);
 
    $user = User::where('email', $request->email)->first();
 
    if (! $user || ! Hash::check($request->password, $user->password)) {
        throw ValidationException::withMessages([
            'email' => ['The provided credentials are incorrect.'],
        ]);
    }
 
    return $user->createToken($request->device_name)->plainTextToken;
});

当移动应用程序使用令牌向您的应用程序发出 API 请求时,它应以 Bearer 令牌的形式在 Authorization 标头中传递该令牌。

lightbulb

在为移动应用程序颁发令牌时,您还可以自由指定令牌能力

保护路由

如先前记录的那样,您可以通过将 sanctum 身份验证守卫附加到路由上来保护路由,以便所有传入请求都必须经过身份验证。

Route::get('/user', function (Request $request) {
    return $request->user();
})->middleware('auth:sanctum');

撤销令牌

为了允许用户撤销颁发给移动设备的 API 令牌,您可以在 Web 应用程序 UI 的“帐户设置”部分中按名称列出它们,并附带一个“撤销”按钮。当用户单击“撤销”按钮时,您可以从数据库中删除该令牌。请记住,您可以通过 Laravel\Sanctum\HasApiTokens trait 提供的 tokens 关系访问用户的 API 令牌。

// Revoke all tokens...
$user->tokens()->delete();
 
// Revoke a specific token...
$user->tokens()->where('id', $tokenId)->delete();

测试

在测试时,可以使用 Sanctum::actingAs 方法来验证用户身份,并指定应授予其令牌的权限。

use App\Models\User;
use Laravel\Sanctum\Sanctum;
 
test('task list can be retrieved', function () {
    Sanctum::actingAs(
        User::factory()->create(),
        ['view-tasks']
    );
 
    $response = $this->get('/api/task');
 
    $response->assertOk();
});
use App\Models\User;
use Laravel\Sanctum\Sanctum;
 
public function test_task_list_can_be_retrieved(): void
{
    Sanctum::actingAs(
        User::factory()->create(),
        ['view-tasks']
    );
 
    $response = $this->get('/api/task');
 
    $response->assertOk();
}

如果您想授予令牌所有权限,则应在提供给 actingAs 方法的权限列表中包含 *

Sanctum::actingAs(
    User::factory()->create(),
    ['*']
);