Laravel jwt 多表(多用户端)验证隔离的实现
Tips:tymon/jwt-auth作者已通过增加prv字段修复这一问题#1167,但是如果你是用dingoapi+jwt的话,该问题依然存在。#
JWT多表验证隔离
为什么要做隔离
当同一个laravel项目有多端(移动端、管理端......)都需要使用jwt做用户验证时,如果用户表有多个(一般都会有),就需要做token隔离,不然会发生移动端的token也能请求管理端的问题,造成用户越权。
会引发这个问题的原因是laravel的jwttoken默认只会存储数据表的主键的值,并没有区分是那个表的。所以只要token里携带的ID在你的用户表中都存在,就会导致越权验证。
我们来看看laravel的jwttoken的原貌:
{
"iss":"http://your-request-url",
"iat":1558668215,
"exp":1645068215,
"nbf":1558668215,
"jti":"XakIDuG7K0jeWGDi",
"sub":1
}
携带数据的是sub字段,其他字段是jwt的验证字段。
我们只看到sub的值为1,并没有说明是那个表或是哪个验证器的。这个token通过你的验证中间件时,你使用不同的guard就能拿到对应表id为1的用户(了解guard请查看laravel的文档)。
解决办法
想要解决用户越权的问题,我们只要在token上带上我们的自定义字段,用来区分是哪个表或哪个验证器生成的,然后再编写自己的中间件验证我们的自定义字段是否符合我们的预期。
添加自定义信息到token
我们知道要使用jwt验证,用户模型必须要实现JWTSubject的接口(代码取自jwt文档):
getKey();
}
/**
*Returnakeyvaluearray,containinganycustomclaimstobeaddedtotheJWT.
*
*@returnarray
*/
publicfunctiongetJWTCustomClaims()
{
return[];
}
}
我们可以看看实现的这两个方法的作用:
- getJWTIdentifier的:获取会储存到jwt声明中的标识,其实就是要我们返回标识用户表的主键字段名称,这里是返回的是主键'id',
- getJWTCustomClaims:返回包含要添加到jwt声明中的自定义键值对数组,这里返回空数组,没有添加任何自定义信息。
接下来我们就可以在实现了getJWTCustomClaims方法的用户模型中添加我们的自定义信息了。
管理员模型:
/**
*额外在JWT载荷中增加的自定义内容
*
*@returnarray
*/
publicfunctiongetJWTCustomClaims()
{
return['role'=>'admin'];
}
移动端用户模型:
/**
*额外在JWT载荷中增加的自定义内容
*
*@returnarray
*/
publicfunctiongetJWTCustomClaims()
{
return['role'=>'user'];
}
这里添加了一个角色名作为用户标识。
这样管理员生成的token会像这样:
{
"iss":"http://your-request-url",
"iat":1558668215,
"exp":1645068215,
"nbf":1558668215,
"jti":"XakIDuG7K0jeWGDi",
"sub":1,
"role":"admin"
}
移动端用户生成的token会像这样:
{
"iss":"http://your-request-url",
"iat":1558668215,
"exp":1645068215,
"nbf":1558668215,
"jti":"XakIDuG7K0jeWGDi",
"sub":1,
"role":"user"
}
我们可以看到这里多了一个我们自己加的role字段,并且对应我们的用户模型。
接下来我们自己写一个中间件,解析token后判断是否是我们想要的角色,对应就通过,不对应就报401就好了。
编写jwt角色校验中间件
这里提供一个可全局使用的中间件(推荐用在用户验证中间件前):
auth->parseToken()->getClaim('role');
}catch(JWTException$e){
/**
*token解析失败,说明请求中没有可用的token。
*为了可以全局使用(不需要token的请求也可通过),这里让请求继续。
*因为这个中间件的责职只是校验token里的角色。
*/
return$next($request);
}
//判断token角色。
if($token_role!=$role){
thrownewUnauthorizedHttpException('jwt-auth','Userroleerror');
}
return$next($request);
}
}
注册jwt角色校验中间件
在app/Http/Kernel.php中注册中间件:
/** *Theapplication'sroutemiddleware. * *Thesemiddlewaremaybeassignedtogroupsorusedindividually. * *@vararray */ protected$routeMiddleware=[ //...省略... //多表jwt验证校验 'jwt.role'=>\App\Http\Middleware\JWTRoleAuth::class, ];
使用jwt角色校验中间件
接下来在需要用户验证的路由组中添加我们的中间件:
Route::group([
'middleware'=>['jwt.role:admin','jwt.auth'],
],function($router){
//管理员验证路由
//...
});
Route::group([
'middleware'=>['jwt.role:user','jwt.auth'],
],function($router){
//移动端用户验证路由
//...
});
至此完成jwt多表用户验证隔离。
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持毛票票。
声明:本文内容来源于网络,版权归原作者所有,内容由互联网用户自发贡献自行上传,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任。如果您发现有涉嫌版权的内容,欢迎发送邮件至:czq8825#qq.com(发邮件时,请将#更换为@)进行举报,并提供相关证据,一经查实,本站将立刻删除涉嫌侵权内容。