今天就跟大家聊聊有关“Laravel框架下jwt多表验证隔离的意义是什么，怎么做”的内容，可能很多人都不太了解，为了让大家认识和更进一步的了解，小编给大家总结了以下内容，希望这篇“Laravel框架下jwt多表验证隔离的意义是什么，怎么做”文章能对大家有帮助。

Tips: tymon/jwt-auth 作者已通过增加 prv 字段修复这一问题#1167，但是如果你是用 dingo api + jwt 的话，该问题依然存在。#

JWT 多表验证隔离

为什么要做隔离

当同一个 laravel 项目有多端（移动端、管理端......）都需要使用 jwt 做用户验证时，如果用户表有多个（一般都会有），就需要做 token 隔离，不然会发生移动端的 token 也能请求管理端的问题，造成用户越权。

会引发这个问题的原因是 laravel 的 jwt token 默认只会存储数据表的主键的值，并没有区分是那个表的。所以只要 token 里携带的 ID 在你的用户表中都存在，就会导致越权验证。

我们来看看 laravel 的 jwt token 的原貌：

{
 "iss": "http://your-request-url",
 "iat": 1558668215,
 "exp": 1645068215,
 "nbf": 1558668215,
 "jti": "XakIDuG7K0jeWGDi",
 "sub": 1
}

携带数据的是 sub 字段，其他字段是 jwt 的验证字段。

我们只看到 sub 的值为 1，并没有说明是那个表或是哪个验证器的。这个 token 通过你的验证中间件时，你使用不同的 guard 就能拿到对应表 id 为 1 的用户（了解 guard 请查看 laravel 的文档）。

解决办法

想要解决用户越权的问题，我们只要在 token 上带上我们的自定义字段，用来区分是哪个表或哪个验证器生成的，然后再编写自己的中间件验证我们的自定义字段是否符合我们的预期。

添加自定义信息到 token

我们知道要使用 jwt 验证，用户模型必须要实现 JWTSubject 的接口（代码取自jwt 文档）：

<?php

namespace App;

use Tymon\JWTAuth\Contracts\JWTSubject;
use Illuminate\Notifications\Notifiable;
use Illuminate\Foundation\Auth\User as Authenticatable;

class User extends Authenticatable implements JWTSubject
{
 use Notifiable;

 // Rest omitted for brevity

 /**
  * Get the identifier that will be stored in the subject claim of the JWT.
  *
  * @return mixed
  */
 public function getJWTIdentifier()
 {
  return $this->getKey();
 }

 /**
  * Return a key value array, containing any custom claims to be added to the JWT.
  *
  * @return array
  */
 public function getJWTCustomClaims()
 {
  return [];
 }
}

我们可以看看实现的这两个方法的作用：

• getJWTIdentifier 的：获取会储存到 jwt 声明中的标识，其实就是要我们返回标识用户表的主键字段名称，这里是返回的是主键 'id',
• getJWTCustomClaims：返回包含要添加到 jwt 声明中的自定义键值对数组，这里返回空数组，没有添加任何自定义信息。

接下来我们就可以在实现了 getJWTCustomClaims 方法的用户模型中添加我们的自定义信息了。

管理员模型：

/**
 * 额外在 JWT 载荷中增加的自定义内容
 *
 * @return array
 */
public function getJWTCustomClaims()
{
 return ['role' => 'admin'];
}

移动端用户模型：

/**
 * 额外在 JWT 载荷中增加的自定义内容
 *
 * @return array
 */
public function getJWTCustomClaims()
{
 return ['role' => 'user'];
}

这里添加了一个角色名作为用户标识。

这样管理员生成的 token 会像这样：

{
 "iss": "http://your-request-url",
 "iat": 1558668215,
 "exp": 1645068215,
 "nbf": 1558668215,
 "jti": "XakIDuG7K0jeWGDi",
 "sub": 1,
 "role": "admin"
}

移动端用户生成的 token 会像这样：

{
 "iss": "http://your-request-url",
 "iat": 1558668215,
 "exp": 1645068215,
 "nbf": 1558668215,
 "jti": "XakIDuG7K0jeWGDi",
 "sub": 1,
 "role": "user"
}

我们可以看到这里多了一个我们自己加的 role 字段，并且对应我们的用户模型。

接下来我们自己写一个中间件，解析 token 后判断是否是我们想要的角色，对应就通过，不对应就报 401 就好了。

编写 jwt 角色校验中间件

这里提供一个可全局使用的中间件 (推荐用在用户验证中间件前)：

<?php
/**
 * Created by PhpStorm.
 * User: wlalala
 * Date: 2019-04-17
 * Time: 13:55
 */

namespace App\Http\Middleware;

use Closure;
use Symfony\Component\HttpKernel\Exception\UnauthorizedHttpException;
use Tymon\JWTAuth\Exceptions\JWTException;
use Tymon\JWTAuth\Http\Middleware\BaseMiddleware;

class JWTRoleAuth extends BaseMiddleware
{
 /**
  * Handle an incoming request.
  *
  * @param $request
  * @param Closure $next
  * @param null $role
  * @return mixed
  */
 public function handle($request, Closure $next, $role = null)
 {
  try {
   // 解析token角色
   $token_role = $this->auth->parseToken()->getClaim('role');
  } catch (JWTException $e) {
   /**
    * token解析失败，说明请求中没有可用的token。
    * 为了可以全局使用（不需要token的请求也可通过），这里让请求继续。
    * 因为这个中间件的责职只是校验token里的角色。
    */
   return $next($request);
  }

  // 判断token角色。
  if ($token_role != $role) {
   throw new UnauthorizedHttpException('jwt-auth', 'User role error');
  }

  return $next($request);
 }
}

注册 jwt 角色校验中间件

在 app/Http/Kernel.php 中注册中间件：

 /**
  * The application's route middleware.
  *
  * These middleware may be assigned to groups or used individually.
  *
  * @var array
  */
 protected $routeMiddleware = [
  // ...省略 ...

  // 多表jwt验证校验
  'jwt.role' => \App\Http\Middleware\JWTRoleAuth::class,
 ];

使用 jwt 角色校验中间件

接下来在需要用户验证的路由组中添加我们的中间件:

Route::group([
 'middleware' => ['jwt.role:admin', 'jwt.auth'],
], function ($router) {
 // 管理员验证路由
 // ...
});

Route::group([
 'middleware' => ['jwt.role:user', 'jwt.auth'],
], function ($router) {
 // 移动端用户验证路由
 // ...
});

至此完成 jwt 多表用户验证隔离。

现在大家对于Laravel框架下jwt多表验证隔离的意义是什么，怎么做的内容应该都有一定的认识了吧，希望这篇能对大家有所帮助。最后，想要了解更多，欢迎关注群英网络，群英网络将为大家推送更多相关的文章。

免责声明：本站发布的内容（图片、视频和文字）以原创、转载和分享为主，文章观点不代表本网站立场，如果涉及侵权请联系站长邮箱：mmqy2019@163.com进行举报，并提供相关证据，查实之后，将立刻删除涉嫌侵权内容。

猜你喜欢

• PHP中static关键字用于什么，有什么要注意的？

  本页说明了用static关键字来定义静态方法和属性。static也可用于定义静态变量以及后期静态绑定。声明类属性或方法为静态，就可以不实例化类而直接访问。静态属性不能通...

• PHP的常量和变量不同在哪

  PHP的常量和变量不同在哪？有不少朋友对此感兴趣，下面小编给大家整理和分享了相关知识和资料，易于大家学习和理解，有需要的朋友可以借鉴参考，下面我们一起来了解一下吧。

• PHP如何使用PDO连接？详解PDO连接用法

  这篇文章主要给大家分享的是有关PHP使用PDO 连接与连接管理的操作。小编觉得挺实用的，而且对新手学习PHP有一定的参考价值，因此分享给大家做个参考，接下来就跟随小编一起了解一下吧。

• PHP对象序列化的实现用Serializable接口的方式怎样做

  关于PHP中的对象序列化这件事儿，之前我们在很早前的文章中已经提到过 __sleep() 和 __weakup() 这两个魔术方法。今天我们介绍的则是另外一个可以控制序列化内容的方式，那就是使用 Serializable 接口。它的使用和上述两个魔术方法很类似，但又稍有不同。

• Laravel框架的核心是什么，如何理解

  laravel的核心是服务容器，也就是IOC容器。该容器提供了整个框架中需要的一系列服务，其中包含了依赖注入和控制反转两部分，控制反转是面向对象编程中的一种设计原则，可以用来减低计算机代码之间的耦合度。