Composer在线学习地址：学习地址

痛点：Passport 授权与身份验证的鸿沟

想象一下，你正在构建一个由多个Laravel应用组成的生态系统：一个主门户、一个用户仪表盘、一个数据分析工具。你已经使用Laravel Passport为这些应用提供了API授权，用户可以通过OAuth2令牌访问各自的资源。一切看起来都很顺利，直到你面临一个核心问题：如何让用户在一个应用中登录后，其他应用能够安全地知道“这个用户是谁”？

Passport的访问令牌（Access Token）告诉你用户“有权访问”某些资源，但它本身不包含用户的身份信息，也不能直接用于验证用户的真实身份。这在实现单点登录（SSO）、向第三方服务安全地传递用户身份，或者在微服务架构中统一用户身份识别时，就成了一个令人头疼的问题。我们需要一个额外的层，一个能够提供经过验证的用户身份信息的机制。

解决方案：jeremy379/laravel-openid-connect 闪亮登场

正是为了解决这一痛点，jeremy379/laravel-openid-connect 应运而生。它是一个为PHP League's OAuth2 Server（Laravel Passport正是基于此）提供OpenID Connect支持的库，专为Laravel和Laravel Passport设计。它通过在OAuth2流程中引入 id_token，完美地弥补了身份验证的空白。

那么，它是如何工作的呢？

OpenID Connect (OIDC) 是一个基于OAuth2协议的身份层，它允许客户端验证终端用户的身份，并获取关于终端用户的基本个人资料信息。简单来说，OIDC在OAuth2的授权流程中添加了一个 id_token，这是一个JWT（JSON Web Token），其中包含了用户的身份声明（claims），例如用户ID、邮箱、姓名等。

安装与配置

集成 jeremy379/laravel-openid-connect 非常直接：

1. 安装包：

   composer require jeremy379/laravel-openid-connect

   这个包要求PHP ^8.2，并兼容Laravel 10或Laravel 11，以及已配置好的Laravel Passport。

2. 添加 openid Scope： 在 app/Providers/AuthServiceProvider.php 的 boot() 方法中，你需要为Passport令牌添加 openid scope。这个scope是触发 id_token 生成的关键。

   use Laravel\Passport\Passport;
   
   public function boot()
   {
       // ...
       Passport::tokensCan([
           // 你现有的scopes
           'view-profile' => 'View your profile information',
           'openid'       => 'Access your identity information', // 添加 openid scope
           'profile'      => 'Access your profile information',
           'email'        => 'Access your email address',
       ]);
   
       // 或者如果你想合并现有scopes和openid配置
       // $scopes = array_merge($yourExistingScopes, config('openid.passport.tokens_can'));
       // Passport::tokensCan($scopes);
   }

   当客户端在调用 oauth/authorize 端点时提供 openid scope（例如 openid profile email），在后续的 oauth/token 端点调用后，除了访问令牌（access_token），你还会收到一个 id_token。

3. 创建身份实体（Identity Entity）： 这是定义哪些用户声明（claims）会被包含在 id_token 中的关键。你需要创建一个实体类，例如 app/Entities/IdentityEntity.php，实现 OpenIDConnect\Interfaces\IdentityEntityInterface 接口。

   // app/Entities/IdentityEntity.php
   namespace App\Entities;
   
   use App\Models\User; // 假设你的用户模型是 App\Models\User
   use League\OAuth2\Server\Entities\Traits\EntityTrait;
   use OpenIDConnect\Claims\Traits\WithClaims;
   use OpenIDConnect\Interfaces\IdentityEntityInterface;
   
   class IdentityEntity implements IdentityEntityInterface
   {
       use EntityTrait;
       use WithClaims;
   
       protected User $user;
   
       public function setIdentifier($identifier): void
       {
           $this->identifier = $identifier;
           $this->user = User::findOrFail($identifier);
       }
   
       /**
        * 当构建 id_token 时，此实体类的声明会被收集
        */
       public function getClaims(): array
       {
           return [
               'sub'   => (string) $this->user->id, // subject，用户的唯一标识
               'email' => $this->user->email,
               'name'  => $this->user->name,
               // 根据需要添加更多声明，如 'picture', 'locale' 等
           ];
       }
   }

   这个 IdentityEntity 会在 id_token 生成时被调用，getClaims() 方法返回的数组就是 id_token 中包含的用户信息。

4. 验证 id_token 签名：id_token 是一个JWT，它经过服务器签名以确保其真实性和完整性。客户端接收到 id_token 后，必须验证其签名。这通常使用 lcobucci/jwt 库来完成，并使用Passport生成的公共密钥。

   use Lcobucci\JWT\Configuration;
   use Lcobucci\JWT\Signer\Rsa\Sha256;
   use Lcobucci\JWT\Signer\Key\InMemory;
   use Lcobucci\JWT\Validation\Constraint\SignedWith;
   
   // 假设 $idtoken 是从 OAuth/token 响应中获取的 id_token 字符串
   $config = Configuration::forSymmetricSigner(
       new Sha256(),
       InMemory::file(base_path('oauth-public.key')) // Passport生成的公共密钥
   );
   
   $token = $config->parser()->parse($idtoken);
   
   $signatureValid = $config->validator()->validate($token, new SignedWith($config->signer(), $config->signingKey()));
   
   if ($signatureValid) {
       // 签名有效，可以信任 id_token 中的声明
       $claims = $token->claims()->all();
       // ... 处理用户身份信息 ...
   } else {
       // 签名无效，拒绝
   }

5. 发布配置（可选）： 如果你需要修改默认的scopes、添加自定义声明集或更改存储库，可以发布配置文件：

   php artisan vendor:publish --tag=openid

   这会在 config 目录下创建一个 openid.php 文件，你可以进行更高级的配置，例如设置JWKS URL、添加 token_headers (如 kid 用于密钥轮换) 等。

优势与实际应用效果

jeremy379/laravel-openid-connect 为你的Laravel应用带来了显著的优势和实际应用效果：

1. 简化 OIDC 集成： 你无需从头实现复杂的OpenID Connect协议细节。这个包为你处理了大部分工作，让你专注于业务逻辑。
2. 与 Laravel Passport 无缝集成： 它直接扩展了Passport的功能，利用你现有的OAuth2基础设施，降低了学习和集成成本。
3. 提供可靠的身份验证层： id_token 提供了一个标准化的、可验证的用户身份声明，确保你获取的用户信息是真实且未被篡改的。
4. 支持单点登录 (SSO)： 客户端获取 id_token 后，可以在其他关联应用中验证其身份，实现用户一次登录，多应用共享身份的体验。
5. 增强安全性： id_token 的签名机制确保了身份信息的完整性和来源可信性，有效防止身份伪造和篡改。
6. 高度可配置： 通过发布配置文件，你可以自定义 id_token 中的声明、JWT头部、JWKS端点等，满足不同业务需求。
7. 微服务架构的理想选择： 在微服务环境中，各个服务可以通过验证 id_token 来安全地识别用户，而无需每次都查询中央认证服务。

总结

在现代Web开发中，安全且高效的用户身份验证是构建可靠应用的基础。jeremy379/laravel-openid-connect 成功地弥合了Laravel Passport在OAuth2授权与OpenID Connect身份验证之间的鸿沟，为Laravel开发者提供了一个强大而优雅的解决方案。通过简单地安装和配置，你的Laravel应用就能轻松获得OIDC能力，实现单点登录、安全的用户身份传递，从而构建出更加健壮、用户体验更佳的应用系统。告别多重登录的困扰，拥抱 jeremy379/laravel-openid-connect 带来的便利与安全吧！

# composer  # php  # laravel  # js  # json  # app  # access  # 工具  # ai  # 配置文件  # 邮箱  # 架构  # Token  # 接口  # 数据分析 

相关栏目： 【 网站优化151355 】 【 网络推广146373 】 【 网络技术251813 】 【 AI营销90571 】

相关推荐： Laravel如何使用Telescope进行调试？（安装和使用教程）  Laravel Vite是做什么的_Laravel前端资源打包工具Vite配置与使用  ,南京靠谱的征婚网站？  如何用wdcp快速搭建高效网站？  东莞专业网站制作公司有哪些,东莞招聘网站哪个好？  Laravel怎么实现支付功能_Laravel集成支付宝微信支付  网站页面设计需要考虑到这些问题  创业网站制作流程,创业网站可靠吗？  公司网站制作价格怎么算,公司办个官网需要多少钱？  如何快速完成中国万网建站详细流程？  阿里云高弹*务器配置方案｜支持分布式架构与多节点部署  Android仿QQ列表左滑删除操作  Laravel如何实现多表关联模型定义_Laravel多对多关系及中间表数据存取【方法】  轻松掌握MySQL函数中的last_insert_id()  如何在自有机房高效搭建专业网站？  php打包exe后无法访问网络共享_共享权限设置方法【教程】  如何用花生壳三步快速搭建专属网站？  Laravel如何实现URL美化Slug功能_Laravel使用eloquent-sluggable生成别名【方法】  如何在建站宝盒中设置产品搜索功能？  北京网站制作的公司有哪些,北京白云观官方网站？  如何快速生成可下载的建站源码工具？  Laravel怎么配置.env环境变量_Laravel生产环境敏感数据保护与读取【方法】  Windows驱动无法加载错误解决方法_驱动签名验证失败处理步骤  如何在阿里云域名上完成建站全流程？  香港服务器部署网站为何提示未备案？  Laravel怎么创建自己的包(Package)_Laravel扩展包开发入门到发布  logo在线制作免费网站在线制作好吗,DW网页制作时，如何在网页标题前加上logo？  Laravel如何理解并使用服务容器（Service Container）_Laravel依赖注入与容器绑定说明  Laravel Octane如何提升性能_使用Laravel Octane加速你的应用  Java类加载基本过程详细介绍  EditPlus中的正则表达式实战(5)  C++用Dijkstra(迪杰斯特拉)算法求最短路径  网站制作公司哪里好做,成都网站制作公司哪家做得比较好，更正规？  JS去除重复并统计数量的实现方法  如何制作新型网站程序文件,新型止水鱼鳞网要拆除吗？  edge浏览器无法安装扩展 edge浏览器插件安装失败【解决方法】  网站制作软件免费下载安装,有哪些免费下载的软件网站？  再谈Python中的字符串与字符编码（推荐）  打开php文件提示内存不足_怎么调整php内存限制【解决方案】  香港服务器网站生成指南：免费资源整合与高速稳定配置方案  如何在建站之星绑定自定义域名？  Laravel如何处理文件上传_Laravel Storage门面实现文件存储与管理  手机钓鱼网站怎么制作视频,怎样拦截钓鱼网站。怎么办？  Laravel如何使用Facades（门面）及其工作原理_Laravel门面模式与底层机制  google浏览器怎么清理缓存_谷歌浏览器清除缓存加速详细步骤  详解Nginx + Tomcat 反向代理 如何在高效的在一台服务器部署多个站点  JavaScript如何操作视频_媒体API怎么控制播放  如何在万网自助建站中设置域名及备案？  Laravel怎么在Controller之外的地方验证数据  HTML 中动态设置元素 name 属性的正确语法详解