Laravel jwt 多表验证隔离_网络技术_宿州市腾雀网络科技有限公司

Laravel jwt 多表验证隔离

发布时间 - 2019-07-03 00:00:00 点击率：次

为什么要做隔离

当同一个laravel项目有多端（移动端、管理端......）都需要使用jwt做用户验证时，如果用户表有多个（一般都会有），就需要做token隔离，不然会发生移动端的token也能请求管理端的问题，造成用户越权。

会引发这个问题的原因是laravel的jwt token默认只会存储数据表的主键的值，并没有区分是那个表的。所以只要token里携带的ID在你的用户表中都存在，就会导致越权验证。

我们来看看laravel的jwt token 的原貌：

{
    "iss": "http://your-request-url",
    "iat": 1558668215,
    "exp": 1645068215,
    "nbf": 1558668215,
    "jti": "XakIDuG7K0jeWGDi",
    "sub": 1,
    "prv": "92d5e8eb1b38ccd11476896c19b0e44512b2aacd"
}

携带数据的是sub字段，其他字段是jwt的验证字段。

我们只看到sub的值为1，并没有说明是那个表或是哪个验证器的。这个token通过你的验证中间件时，你使用不同的guard就能拿到对应表id为1的用户（了解guard请查看laravel的文档）。

解决办法

想要解决用户越权的问题，我们只要在token上带上我们的自定义字段，用来区分是哪个表或哪个验证器生成的，然后再编写自己的中间件验证我们的自定义字段是否符合我们的预期。

添加自定义信息到token

我们知道要使用jwt验证，用户模型必须要实现JWTSubject的接口（代码取自jwt文档）：

getKey();
    }

    /**
     * Return a key value array, containing any custom claims to be added to the JWT.
     *
     * @return array
     */
    public function getJWTCustomClaims()
    {
        return [];
    }
}

我们可以看看实现的这两个方法的作用：

getJWTIdentifier的：获取会储存到jwt声明中的标识，其实就是要我们返回标识用户表的主键字段名称，这里是返回的是主键'id',
getJWTCustomClaims：返回包含要添加到jwt声明中的自定义键值对数组，这里返回空数组，没有添加任何自定义信息。

接下来我们就可以在实现了getJWTCustomClaims方法的用户模型中添加我们的自定义信息了。

管理员模型：

/**
 * 额外在 JWT 载荷中增加的自定义内容
 *
 * @return array
 */
public function getJWTCustomClaims()
{
    return ['role' => 'admin'];
}

移动端用户模型：

/**
 * 额外在 JWT 载荷中增加的自定义内容
 *
 * @return array
 */
public function getJWTCustomClaims()
{
    return ['role' => 'user'];
}

这里添加了一个角色名作为用户标识。

这样管理员生成的token会像这样：

{
    "iss": "http://your-request-url",
    "iat": 1558668215,
    "exp": 1645068215,
    "nbf": 1558668215,
    "jti": "XakIDuG7K0jeWGDi",
    "sub": 1,
    "prv": "92d5e8eb1b38ccd11476896c19b0e44512b2aacd",
    "role": "admin"
}

移动端用户生成的token会像这样：

{
    "iss": "http://your-request-url",
    "iat": 1558668215,
    "exp": 1645068215,
    "nbf": 1558668215,
    "jti": "XakIDuG7K0jeWGDi",
    "sub": 1,
    "prv": "92d5e8eb1b38ccd11476896c19b0e44512b2aacd",
    "role": "user"
}

我们可以看到这里多了一个我们自己加的role字段，并且对应我们的用户模型。

接下来我们自己写一个中间件，解析token后判断是否是我们想要的角色，对应就通过，不对应就报401就好了。

编写jwt角色校验中间件

这里提供一个可全局使用的中间件(推荐用在用户验证中间件前)：

auth->parseToken()->getClaim('role');
        } catch (JWTException $e) {
            /**
             * token解析失败，说明请求中没有可用的token。
             * 为了可以全局使用（不需要token的请求也可通过），这里让请求继续。
             * 因为这个中间件的责职只是校验token里的角色。
             */
            return $next($request);
        }

        // 判断token角色。
        if ($token_role != $role) {
            throw new UnauthorizedHttpException('jwt-auth', 'User role error');
        }

        return $next($request);
    }
}

注册jwt角色校验中间件

在app/Http/Kernel.php中注册中间件：

    /**
     * The application's route middleware.
     *
     * These middleware may be assigned to groups or used individually.
     *
     * @var array
     */
    protected $routeMiddleware = [
        // ...省略 ...

        // 多表jwt验证校验
        'jwt.role' => \App\Http\Middleware\JWTRoleAuth::class,
    ];

使用jwt角色校验中间件

接下来在需要用户验证的路由组中添加我们的中间件:

Route::group([
    'middleware' => ['jwt.role:admin', 'jwt.auth'],
], function ($router) {
    // 管理员验证路由
    // ...
});

Route::group([
    'middleware' => ['jwt.role:user', 'jwt.auth'],
], function ($router) {
    // 移动端用户验证路由
    // ...
});

至此完成jwt多表用户验证隔离。

更多Laravel相关技术文章，请访问Laravel教程栏目进行学习！

# laravel # 自定义 # 的是 # 主键 # 会像 # 自己的 # 就会 # 文档 # 会有 # 就能 # 多个

相关栏目：【网站优化151355 】【网络推广146373 】【网络技术251813 】【 AI营销90571 】

上一篇：javascript九宫格图片随机打乱位置的实现方法

下一篇：基于建站之星安装后，域名绑定和解析设置的正确步骤是什么？

相关栏目网站优化
网络推广
网络技术
AI营销

最新文章 Sublime怎么一键压缩JS代码 Su sublime如何在搜索中使用正则表达式 Sublime如何设置透明窗口效果 Su mysql如何设计商品表结构_mysql css属性背景图不显示怎么办_通过检查路如何使用Golang实现排序_Golan 农历闰月是怎么回事_为合回归年加一月调整塑造《刺客信条》艾吉奥传奇的编剧离开育碧 1英里等于多少公里 1mile和km的换 css grid布局中行和列是如何定义的 PS批量旋转和翻转图片，快速校正图片方向 C# Swagger UI自定义方法 C OPPO手机九宫格和全键盘怎么切换_OP Go语言如何实现用户登录注册_Golan 1节飞行速度多少公里每小时 1节是多少公纸嫁衣8千子树第五章庙门怎么开启庙门 Laravel 多行数据编辑表单中实现逐明日之后如何提升钓鱼等级明日之后提升钓支付宝怎样查年度账单_支付宝年度账单查看 C# 多线程UI更新Dispatcher

上一篇：javascript九宫格图片随机打乱位置的实现方法

下一篇：基于建站之星安装后，域名绑定和解析设置的正确步骤是什么？