用户会话认证的 Laravel API 路由

【问题标题】:Laravel API routes authenticated by user session用户会话认证的 Laravel API 路由
【发布时间】:2017-11-26 09:32:28
【问题描述】:

我已经开始处理现有的 Laravel 5.2 项目。我需要为应用程序的前端构建一些基本的 API 请求以与数据库通信。这些路由需要经过用户会话的认证。

我尝试使用 auth:api 驱动程序设置中间件,并在 ../config/auth.php 中将 api['driver'] 设置为 'session'。但是,即使用户已通过所有权限和角色的身份验证,我仍会不断收到 302 重定向到登录页面。

有人可以推荐一些关于如何基于用户会话实现API身份验证的阅读或其他解决方案吗?

来自路由/api.php:

Route::group(["middleware" => ["auth:api"]], function () {
    // results in 302 redirect to /login
    Route::get('test', function(){
        return "TEST";
    });    

});

来自配置/auth.php

'guards' => [
'web' => [
    'driver' => 'session',
    'provider' => 'users',
],

'api' => [
    'driver' => 'session',
    'provider' => 'users',
],

app/Http/Kernel.php

<?php

namespace App\Http;

use Illuminate\Foundation\Http\Kernel as HttpKernel;

class Kernel extends HttpKernel
{
    /**
     * The application's global HTTP middleware stack.
     *
     * These middleware are run during every request to your application.
     *
     * @var array
     */
    protected $middleware = [
        \Illuminate\Foundation\Http\Middleware\CheckForMaintenanceMode::class,
        \App\Http\Middleware\NoCache::class,
    ];

    /**
     * The application's route middleware groups.
     *
     * @var array
     */
    protected $middlewareGroups = [
        'web' => [
            \App\Http\Middleware\EncryptCookies::class,
            \Illuminate\Cookie\Middleware\AddQueuedCookiesToResponse::class,
            \Illuminate\Session\Middleware\StartSession::class,
            \Illuminate\View\Middleware\ShareErrorsFromSession::class,
            \App\Http\Middleware\VerifyCsrfToken::class,
            \Illuminate\Routing\Middleware\SubstituteBindings::class,
        ],

        'api' => [
            'throttle:60,1',
            'bindings',
        ],
    ];

    /**
     * The application's route middleware.
     *
     * These middleware may be assigned to groups or used individually.
     *
     * @var array
     */
    protected $routeMiddleware = [
        'auth' => \App\Http\Middleware\Authenticate::class,
        'auth.basic' => \Illuminate\Auth\Middleware\AuthenticateWithBasicAuth::class,
        'bindings' => \Illuminate\Routing\Middleware\SubstituteBindings::class,
        'can' => \Illuminate\Auth\Middleware\Authorize::class,
        'guest' => \App\Http\Middleware\RedirectIfAuthenticated::class,
        'throttle' => \Illuminate\Routing\Middleware\ThrottleRequests::class,
        'role' => \Zizaco\Entrust\Middleware\EntrustRole::class,
        'permission' => \Zizaco\Entrust\Middleware\EntrustPermission::class,
        'ability' => \Zizaco\Entrust\Middleware\EntrustAbility::class,
        'dashboard' => \App\Http\Middleware\dashboardMiddleware::class,
        'system' => \App\Http\Middleware\systemMiddleware::class
    ];
}

【问题讨论】:

  • 发布您的代码示例。听起来中间件可能设置不正确。可能是你的路由层次结构有点混乱
  • @JackGal 我已经为你添加了代码副本。
  • 您是否尝试从浏览器访问此类路由?
  • @JackGal 我尝试从浏览器访问,但我认为需要标题“Accept-Encoding application/json”,所以我还将浏览器请求复制为 curl,导入邮递员,并将该标头更改为上面(使用此方法复制 cookie 文件)。 302 重定向到“/login”也会出现同样的问题。
  • 好的.. 你可以在你的内核类中包含你的中间件组的一部分吗?我想看看你的设置是否正确

标签: php laravel authentication laravel-5.2


【解决方案1】:

这是一篇旧帖子,但根据我的经验和我了解到的情况,我们不会对来自第三方应用程序 b/c 基于会话的身份验证的 API 请求使用基于会话的机制身份验证,就像您尚未通过身份验证一样(就像尚未登录一样),它会将您重定向到登录页面(就像这个问题的作者所说的“将 302 重定向到登录页面”)。

但是 API 请求是 XMLHttpRequest(ajax 请求),而不是浏览器请求,如果是,它如何将您重定向到登录页面? (查看开发者工具中的网络选项卡,您会看到,此请求的响应为 302,响应正文为登录 html 页面)。

因此,我们应该只使用基于令牌的 API 身份验证机制,它会以 json 响应返回“您未通过身份验证”之类的消息,供您的 3rd 方应用使用。

对于 laravel,你可以使用 session provider 来做 api guard,但是你需要去 Kernel.php 并添加

\App\Http\Middleware\EncryptCookies::class,
\Illuminate\Session\Middleware\StartSession::class

, 这是基于 laravel 会话的身份验证的核心, 到您的 api 中间件组。否则,即使您已经登录,您仍然无法通过身份验证 因为默认情况下,laravel api 路由没有必要的中间件来进行基于会话的身份验证。

 protected $middlewareGroups = [ 
        'web' => [
            // ...
        ],  

        'api' => [
            \App\Http\Middleware\EncryptCookies::class,          // <------- ADD THIS
            \Illuminate\Session\Middleware\StartSession::class, // <------ ADD THIS
            // ...
        ],  
    ];

参考: https://laracasts.com/discuss/channels/laravel/protecting-api-routes-with-session-guard https://laravel.io/forum/02-09-2016-52-ajax-auth-not-picking-up-session

【讨论】:

    【解决方案2】:

    问题是您没有在请求中传递任何身份验证标头,因此,很明显它会将您重定向到登录屏幕,即使您使用邮递员点击 API。

    为了证明这一点,请尝试从路由文件中的以下行 Route::group(["middleware" =&gt; ["auth:api"]], ... 中删除 auth 中间件,如果您点击测试路由,您应该能够获得 TEST 作为响应。另外,请记住,我们的 api 会自动将 api/ 前缀绑定到所有 api 路由。因此,您应该向/api/test 提出请求,然后您应该得到 TEST。

    如果您想在您的 api 中包含身份验证,请阅读Laravel's Passport docs。如果您想要更简单的东西,请从 docs 中的 onceBasic Auth 中间件开始。

    我希望这会为您指明正确的方向!

    如果您有任何其他问题,请告诉我。

    干杯!

    【讨论】:

    • 我认为这是“会话”驱动程序的重点?它会从cookie中获得授权吗?
    猜你喜欢
    • 1970-01-01
    • 2015-07-31
    • 2016-06-24
    • 2015-07-31
    • 1970-01-01
    • 1970-01-01
    • 2020-02-19
    • 1970-01-01
    • 2016-03-19
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode