关于lavarel:Laravel-通过-Passport-实现-API-请求认证隐式授权令牌

37次阅读

共计 1600 个字符,预计需要花费 4 分钟才能阅读完成。

隐式受权令牌和通过受权码获取令牌有点相似,但不须要获取受权码就能够将令牌返回给客户端,通常实用于同一个公司自有零碎之间的认证,尤其是客户端利用不能平安存储令牌信息的时候。

后端系统设置

首先在后端系统 AuthServiceProviderboot 办法中调用 enableImplicitGrant 办法:

public function boot()
{
    // 启用隐式受权令牌
    Passport::enableImplicitGrant();}

在开放平台 blog 中注册对应的测试利用 testapp,在 blog 我的项目根目录下运行以下命令来注册 testapp

php artisan passport:client --personal
> 
> testapp
> http://app.test/auth/implicit/callback

# 显示后果
CLIENT_ID=13
CLIENT_SECRET=GDTgIeNVsQ5tPFbok55deciO5My2TSRtv2FYFFHM

前端利用设置

routes/web.php 外面注册对应的隐式认证路由:

Route::get('/auth/implicit', 'Auth\LoginController@implicit');
Route::get('/auth/implicit/callback', 'Auth\LoginController@implicitCallback');

在控制器 LoginController 中编写 implicitimplicitCallback 办法:

public function implicit()
{
    $query = http_build_query([
        'client_id' => 13,
        'redirect_uri' => 'http://app.test/auth/callback',
        'response_type' => 'token',
        'scope' => '',
    ]);

    return redirect('http://blog.test/oauth/authorize?'.$query);
}

public function implicitCallback(Request $request)
{dd($request->get('access_token'));
}

auth/implicit 路由中发送认证申请到后端系统的 oauth/authorize 路由,如果认证胜利会将令牌信息通过传入的 redirect_uri 链接回跳的时候返回。

测试隐式受权认证

首先,咱们通过 http://app.test/auth/implicit 获取令牌,拜访该链接会跳转到后端利用页面,如果没有登录的话,须要先登录,登录之后会跳转到受权确认页面,确认受权之后,就会依据以后 URL 中的 redirect_uri 参数值跳转回前端利用,并且在 URL 中附加 access_token 信息:

http://app.test/auth/implicit/callback#access_token=xxx&token_type=Bearer&expires_in=31536000

通过锚点返回 access_token 的起因是不会把它们发送到服务器(你能够无论通过 Laravel 还是 PHP 都解析不到 access_token),只有客户端能力解析上述锚点里的参数。这也正好合乎隐式受权令牌的应用场景:客户端凭证不能被平安存储的挪动利用或 JavaScript 利用。

在 Postman 中,通过下面的 access_token 也能够拜访 http://blog.test/api/user 认证接口。

隐式受权令牌也能够用于同域名利用认证 API 接口拜访,然而比起后面介绍的通过 Cookie 实现要更简单,所以应用场景无限,不过如果在某些安全性要求比拟高的场景下,不能在客户端存储令牌信息,则能够抉择这种获取令牌的形式拜访后端认证接口。

正文完
 0