今天就跟大家聊聊有关“Laravel框架下jwt多表验证隔离的意义是什么，怎么做”的内容，可能很多人都不太了解，为了让大家认识和更进一步的了解，小编给大家总结了以下内容，希望这篇“Laravel框架下jwt多表验证隔离的意义是什么，怎么做”文章能对大家有帮助。

Tips: tymon/jwt-auth 作者已通过增加 prv 字段修复这一问题#1167，但是如果你是用 dingo api + jwt 的话，该问题依然存在。#

JWT 多表验证隔离

为什么要做隔离

当同一个 laravel 项目有多端（移动端、管理端......）都需要使用 jwt 做用户验证时，如果用户表有多个（一般都会有），就需要做 token 隔离，不然会发生移动端的 token 也能请求管理端的问题，造成用户越权。

会引发这个问题的原因是 laravel 的 jwt token 默认只会存储数据表的主键的值，并没有区分是那个表的。所以只要 token 里携带的 ID 在你的用户表中都存在，就会导致越权验证。

我们来看看 laravel 的 jwt token 的原貌：

{
 "iss": "http://your-request-url",
 "iat": 1558668215,
 "exp": 1645068215,
 "nbf": 1558668215,
 "jti": "XakIDuG7K0jeWGDi",
 "sub": 1
}

携带数据的是 sub 字段，其他字段是 jwt 的验证字段。

我们只看到 sub 的值为 1，并没有说明是那个表或是哪个验证器的。这个 token 通过你的验证中间件时，你使用不同的 guard 就能拿到对应表 id 为 1 的用户（了解 guard 请查看 laravel 的文档）。

解决办法

想要解决用户越权的问题，我们只要在 token 上带上我们的自定义字段，用来区分是哪个表或哪个验证器生成的，然后再编写自己的中间件验证我们的自定义字段是否符合我们的预期。

添加自定义信息到 token

我们知道要使用 jwt 验证，用户模型必须要实现 JWTSubject 的接口（代码取自jwt 文档）：

<?php

namespace App;

use Tymon\JWTAuth\Contracts\JWTSubject;
use Illuminate\Notifications\Notifiable;
use Illuminate\Foundation\Auth\User as Authenticatable;

class User extends Authenticatable implements JWTSubject
{
 use Notifiable;

 // Rest omitted for brevity

 /**
  * Get the identifier that will be stored in the subject claim of the JWT.
  *
  * @return mixed
  */
 public function getJWTIdentifier()
 {
  return $this->getKey();
 }

 /**
  * Return a key value array, containing any custom claims to be added to the JWT.
  *
  * @return array
  */
 public function getJWTCustomClaims()
 {
  return [];
 }
}

我们可以看看实现的这两个方法的作用：

• getJWTIdentifier 的：获取会储存到 jwt 声明中的标识，其实就是要我们返回标识用户表的主键字段名称，这里是返回的是主键 'id',
• getJWTCustomClaims：返回包含要添加到 jwt 声明中的自定义键值对数组，这里返回空数组，没有添加任何自定义信息。

接下来我们就可以在实现了 getJWTCustomClaims 方法的用户模型中添加我们的自定义信息了。

管理员模型：

/**
 * 额外在 JWT 载荷中增加的自定义内容
 *
 * @return array
 */
public function getJWTCustomClaims()
{
 return ['role' => 'admin'];
}

移动端用户模型：

/**
 * 额外在 JWT 载荷中增加的自定义内容
 *
 * @return array
 */
public function getJWTCustomClaims()
{
 return ['role' => 'user'];
}

这里添加了一个角色名作为用户标识。

这样管理员生成的 token 会像这样：

{
 "iss": "http://your-request-url",
 "iat": 1558668215,
 "exp": 1645068215,
 "nbf": 1558668215,
 "jti": "XakIDuG7K0jeWGDi",
 "sub": 1,
 "role": "admin"
}

移动端用户生成的 token 会像这样：

{
 "iss": "http://your-request-url",
 "iat": 1558668215,
 "exp": 1645068215,
 "nbf": 1558668215,
 "jti": "XakIDuG7K0jeWGDi",
 "sub": 1,
 "role": "user"
}

我们可以看到这里多了一个我们自己加的 role 字段，并且对应我们的用户模型。

接下来我们自己写一个中间件，解析 token 后判断是否是我们想要的角色，对应就通过，不对应就报 401 就好了。

编写 jwt 角色校验中间件

这里提供一个可全局使用的中间件 (推荐用在用户验证中间件前)：

<?php
/**
 * Created by PhpStorm.
 * User: wlalala
 * Date: 2019-04-17
 * Time: 13:55
 */

namespace App\Http\Middleware;

use Closure;
use Symfony\Component\HttpKernel\Exception\UnauthorizedHttpException;
use Tymon\JWTAuth\Exceptions\JWTException;
use Tymon\JWTAuth\Http\Middleware\BaseMiddleware;

class JWTRoleAuth extends BaseMiddleware
{
 /**
  * Handle an incoming request.
  *
  * @param $request
  * @param Closure $next
  * @param null $role
  * @return mixed
  */
 public function handle($request, Closure $next, $role = null)
 {
  try {
   // 解析token角色
   $token_role = $this->auth->parseToken()->getClaim('role');
  } catch (JWTException $e) {
   /**
    * token解析失败，说明请求中没有可用的token。
    * 为了可以全局使用（不需要token的请求也可通过），这里让请求继续。
    * 因为这个中间件的责职只是校验token里的角色。
    */
   return $next($request);
  }

  // 判断token角色。
  if ($token_role != $role) {
   throw new UnauthorizedHttpException('jwt-auth', 'User role error');
  }

  return $next($request);
 }
}

注册 jwt 角色校验中间件

在 app/Http/Kernel.php 中注册中间件：

 /**
  * The application's route middleware.
  *
  * These middleware may be assigned to groups or used individually.
  *
  * @var array
  */
 protected $routeMiddleware = [
  // ...省略 ...

  // 多表jwt验证校验
  'jwt.role' => \App\Http\Middleware\JWTRoleAuth::class,
 ];

使用 jwt 角色校验中间件

接下来在需要用户验证的路由组中添加我们的中间件:

Route::group([
 'middleware' => ['jwt.role:admin', 'jwt.auth'],
], function ($router) {
 // 管理员验证路由
 // ...
});

Route::group([
 'middleware' => ['jwt.role:user', 'jwt.auth'],
], function ($router) {
 // 移动端用户验证路由
 // ...
});

至此完成 jwt 多表用户验证隔离。

现在大家对于Laravel框架下jwt多表验证隔离的意义是什么，怎么做的内容应该都有一定的认识了吧，希望这篇能对大家有所帮助。最后，想要了解更多，欢迎关注群英网络，群英网络将为大家推送更多相关的文章。

免责声明：本站发布的内容（图片、视频和文字）以原创、转载和分享为主，文章观点不代表本网站立场，如果涉及侵权请联系站长邮箱：mmqy2019@163.com进行举报，并提供相关证据，查实之后，将立刻删除涉嫌侵权内容。

猜你喜欢

• PHP中输出方法有几种，输出语句怎样写

  在本文中小编整理了在PHP7中echo和print语句实例用法以及相关知识点内容，需要的学习下。

• PHP数组特性有几点，好处是什么

  PHP数组特性有几点，好处是什么？有不少朋友对此感兴趣，下面小编给大家整理和分享了相关知识和资料，易于大家学习和理解，有需要的朋友可以借鉴参考，下面我们一起来了解一下吧。

• PHP中用hash密码和md5密码方式怎样生成用户密码

  php生成用户密码的两种方法：1、hash密码，主要使用单向分散算法来创建密码分散。2、md5密码，是一种非对称加密。最好在加密时添加混淆字符串。

• PHP递归函数原理是什么，基本的几种实现方式是怎样

  小白们在学习递归函数的时候可能无法搞清楚递归函数的原理和运行机制，递归函数是常用到的一类函数，最基本的特点是函数自身调用自身，但必须在调用自身前有条件判断，若满足条件，则调用函数本身，若不满足则终止本函数的自调用，然后把目前流程的主控权交回给上一层函数来执行，否则就会无限调用下去。下面先介绍php实现递归函数的3种基本方式。

• 用PHP如何实现随机生成中文段落，代码是什么

  本文实例讲述了PHP随机生成中文段落。小编觉得挺不错的，对大家学习或是工作可能会有所帮助，对此分享发大家做个参考，希望这篇文章能帮助大家解决问题。