我尝试实现微服务架构。因为我是新手,也许有人可以告诉我: - 当有人登录一项服务时,我可以使用 JWT 与服务进行通信吗?这是安全的方式还是有更好的方式? - 我如何解析 JWT 并从中获取用户 ID 或其他一些数据以将其用于没有用户表的其他服务?比如它是否已过期,用户 ID...
如果有人能帮我给我一个方向,谢谢你的战利品。
【问题讨论】:
标签: laravel jwt microservices
我偏爱tymon/jwt-auth 包,它主要在引擎盖下使用'namshi/jose'。只要jwt.secret在每个可能需要使用令牌的系统之间是相同的,你应该可以调用JWTAuth::getPayload($token)->toArray()来解码它们。
您确实需要一个用户表,但它不必是 Laravel 中已经指定的 用户表。任何实现Illuminate\Auth\Authenticatable 接口的模型,例如通过扩展Illuminate\Foundation\Auth\User 模型都可以。
如果您想在验证登录凭据的用户表之外向令牌中注入其他数据,只需添加一个数组作为登录尝试的第二个参数:
//The key names here are defined by the return values of methods described in the Authenticatable interface.
$credentials = [
'username' => 'your_user',
'password' => 'your_password'
];
$customClaims = [
'someOtherDatapoint' => 'more_data'
];
$token = JWTAuth::attempt($credentials, $customClaims);
您也可以不经过身份验证直接进入令牌创建:
$user = app(YourUserModel::class)->first($id);
$token = JWTAuth::fromUser($user, $customClaims);
这是相对安全的,但我不确定这是否是传输加密数据的最佳方式。您可能只想使用基于 APP_KEY 的 encrypt() 和 decrypt() 辅助函数。您还可以查看 Laravel-Passport https://laravel.com/docs/5.6/passport 进行身份验证,它使用 OAuth2。
【讨论】: