今天就跟大家聊聊有关“Laravel框架下jwt多表验证隔离的意义是什么，怎么做”的内容，可能很多人都不太了解，为了让大家认识和更进一步的了解，小编给大家总结了以下内容，希望这篇“Laravel框架下jwt多表验证隔离的意义是什么，怎么做”文章能对大家有帮助。

Tips: tymon/jwt-auth 作者已通过增加 prv 字段修复这一问题#1167，但是如果你是用 dingo api + jwt 的话，该问题依然存在。#

JWT 多表验证隔离

为什么要做隔离

当同一个 laravel 项目有多端（移动端、管理端......）都需要使用 jwt 做用户验证时，如果用户表有多个（一般都会有），就需要做 token 隔离，不然会发生移动端的 token 也能请求管理端的问题，造成用户越权。

会引发这个问题的原因是 laravel 的 jwt token 默认只会存储数据表的主键的值，并没有区分是那个表的。所以只要 token 里携带的 ID 在你的用户表中都存在，就会导致越权验证。

我们来看看 laravel 的 jwt token 的原貌：

{
 "iss": "http://your-request-url",
 "iat": 1558668215,
 "exp": 1645068215,
 "nbf": 1558668215,
 "jti": "XakIDuG7K0jeWGDi",
 "sub": 1
}

携带数据的是 sub 字段，其他字段是 jwt 的验证字段。

我们只看到 sub 的值为 1，并没有说明是那个表或是哪个验证器的。这个 token 通过你的验证中间件时，你使用不同的 guard 就能拿到对应表 id 为 1 的用户（了解 guard 请查看 laravel 的文档）。

解决办法

想要解决用户越权的问题，我们只要在 token 上带上我们的自定义字段，用来区分是哪个表或哪个验证器生成的，然后再编写自己的中间件验证我们的自定义字段是否符合我们的预期。

添加自定义信息到 token

我们知道要使用 jwt 验证，用户模型必须要实现 JWTSubject 的接口（代码取自jwt 文档）：

<?php

namespace App;

use Tymon\JWTAuth\Contracts\JWTSubject;
use Illuminate\Notifications\Notifiable;
use Illuminate\Foundation\Auth\User as Authenticatable;

class User extends Authenticatable implements JWTSubject
{
 use Notifiable;

 // Rest omitted for brevity

 /**
  * Get the identifier that will be stored in the subject claim of the JWT.
  *
  * @return mixed
  */
 public function getJWTIdentifier()
 {
  return $this->getKey();
 }

 /**
  * Return a key value array, containing any custom claims to be added to the JWT.
  *
  * @return array
  */
 public function getJWTCustomClaims()
 {
  return [];
 }
}

我们可以看看实现的这两个方法的作用：

• getJWTIdentifier 的：获取会储存到 jwt 声明中的标识，其实就是要我们返回标识用户表的主键字段名称，这里是返回的是主键 'id',
• getJWTCustomClaims：返回包含要添加到 jwt 声明中的自定义键值对数组，这里返回空数组，没有添加任何自定义信息。

接下来我们就可以在实现了 getJWTCustomClaims 方法的用户模型中添加我们的自定义信息了。

管理员模型：

/**
 * 额外在 JWT 载荷中增加的自定义内容
 *
 * @return array
 */
public function getJWTCustomClaims()
{
 return ['role' => 'admin'];
}

移动端用户模型：

/**
 * 额外在 JWT 载荷中增加的自定义内容
 *
 * @return array
 */
public function getJWTCustomClaims()
{
 return ['role' => 'user'];
}

这里添加了一个角色名作为用户标识。

这样管理员生成的 token 会像这样：

{
 "iss": "http://your-request-url",
 "iat": 1558668215,
 "exp": 1645068215,
 "nbf": 1558668215,
 "jti": "XakIDuG7K0jeWGDi",
 "sub": 1,
 "role": "admin"
}

移动端用户生成的 token 会像这样：

{
 "iss": "http://your-request-url",
 "iat": 1558668215,
 "exp": 1645068215,
 "nbf": 1558668215,
 "jti": "XakIDuG7K0jeWGDi",
 "sub": 1,
 "role": "user"
}

我们可以看到这里多了一个我们自己加的 role 字段，并且对应我们的用户模型。

接下来我们自己写一个中间件，解析 token 后判断是否是我们想要的角色，对应就通过，不对应就报 401 就好了。

编写 jwt 角色校验中间件

这里提供一个可全局使用的中间件 (推荐用在用户验证中间件前)：

<?php
/**
 * Created by PhpStorm.
 * User: wlalala
 * Date: 2019-04-17
 * Time: 13:55
 */

namespace App\Http\Middleware;

use Closure;
use Symfony\Component\HttpKernel\Exception\UnauthorizedHttpException;
use Tymon\JWTAuth\Exceptions\JWTException;
use Tymon\JWTAuth\Http\Middleware\BaseMiddleware;

class JWTRoleAuth extends BaseMiddleware
{
 /**
  * Handle an incoming request.
  *
  * @param $request
  * @param Closure $next
  * @param null $role
  * @return mixed
  */
 public function handle($request, Closure $next, $role = null)
 {
  try {
   // 解析token角色
   $token_role = $this->auth->parseToken()->getClaim('role');
  } catch (JWTException $e) {
   /**
    * token解析失败，说明请求中没有可用的token。
    * 为了可以全局使用（不需要token的请求也可通过），这里让请求继续。
    * 因为这个中间件的责职只是校验token里的角色。
    */
   return $next($request);
  }

  // 判断token角色。
  if ($token_role != $role) {
   throw new UnauthorizedHttpException('jwt-auth', 'User role error');
  }

  return $next($request);
 }
}

注册 jwt 角色校验中间件

在 app/Http/Kernel.php 中注册中间件：

 /**
  * The application's route middleware.
  *
  * These middleware may be assigned to groups or used individually.
  *
  * @var array
  */
 protected $routeMiddleware = [
  // ...省略 ...

  // 多表jwt验证校验
  'jwt.role' => \App\Http\Middleware\JWTRoleAuth::class,
 ];

使用 jwt 角色校验中间件

接下来在需要用户验证的路由组中添加我们的中间件:

Route::group([
 'middleware' => ['jwt.role:admin', 'jwt.auth'],
], function ($router) {
 // 管理员验证路由
 // ...
});

Route::group([
 'middleware' => ['jwt.role:user', 'jwt.auth'],
], function ($router) {
 // 移动端用户验证路由
 // ...
});

至此完成 jwt 多表用户验证隔离。

现在大家对于Laravel框架下jwt多表验证隔离的意义是什么，怎么做的内容应该都有一定的认识了吧，希望这篇能对大家有所帮助。最后，想要了解更多，欢迎关注群英网络，群英网络将为大家推送更多相关的文章。

免责声明：本站发布的内容（图片、视频和文字）以原创、转载和分享为主，文章观点不代表本网站立场，如果涉及侵权请联系站长邮箱：mmqy2019@163.com进行举报，并提供相关证据，查实之后，将立刻删除涉嫌侵权内容。

猜你喜欢

• laravel框架中使用blade是做什么的，具体怎么用

  这篇文章主要介绍了Laravel 5.1 框架Blade模板引擎用法,结合实例形式分析了laravel5.1框架Blade模板引擎基本功能、创建、使用方法及相关操作注意事项,需要的朋友可以参考下

• 详解PHP与Web交互的实例分析，理解如何实现的

  本文实例讲述了PHP与Web页面交互操作。分享给大家供大家参考，具体如下：

• Thinkphp中vendor是什么，具体用法是怎样

  在thinkphp3.2中，vendor用于导入第三方类库，该方法默认的导入路径为thinkphp系统目录的Vendor目录，默认后缀是“.php”，语法为“vendor(要导入的类库, 导入的基础路径, 导入的类库后缀)”。

• PHP 布尔数据类型语法是什么，转换为布尔值怎样做

  这是最简单的类型。boolean表达了真值，可以为TRUE或FALSE。语法要指定一个布尔值，使用关键字TRUE或FALSE。两个都不区分大小写。<?php$foo=True;//assign...

• PHP算术运算符怎样使用于加减运算

  php算术运算符的使用：1、加法运算，使用+号，使用分号结束，用来使左右两边的值或表达式进行加法计算；2、减法运算，使用-号，编写语法跟加法一致。