使用 Laravel Sanctum 日间构建 API
Laravel Sanctum:现代应用程序中 API 身份验证的简化方法。 API 对于平台间通信至关重要,Sanctum 提供了一个轻量级解决方案来保护 API,培育强大且可扩展的应用程序。本指南探讨了 Sanctum 的设置、功能和用例,包括 SPA 和基于令牌的身份验证。
了解 Laravel Sanctum
Laravel Sanctum 简化了 API 身份验证,提供了两个关键功能:
- 基于令牌的身份验证:非常适合外部服务或移动应用程序访问的 API。
- 基于会话的身份验证:最适合前端和后端共享同一域的单页应用程序 (SPA)。
与更复杂的解决方案不同,Sanctum 的轻量级特性和简单的配置使其非常适合没有 OAuth 要求的应用程序。
实现 Laravel Sanctum
第 1 步:安装
使用 Composer 安装 Sanctum:
composer require laravel/sanctum
第 2 步:发布配置
发布 Sanctum 配置文件:
php artisan vendor:publish --provider="Laravel\Sanctum\SanctumServiceProvider"
这会生成config/sanctum.php,允许自定义 Sanctum 的设置。
第3步:数据库迁移
Sanctum 使用一张personal_access_tokens 桌子。创建此表:
php artisan migrate
第 4 步:中间件配置
将 Sanctum 的中间件集成到 api 内的 app/Http/Kernel.php 中间件组:
'api' => [
\Laravel\Sanctum\Http\Middleware\EnsureFrontendRequestsAreStateful::class,
'throttle:api',
\Illuminate\Routing\Middleware\SubstituteBindings::class,
],基于令牌的身份验证实践
第 1 步:路由保护
使用 routes/api.php 中间件确保 auth:sanctum 中的路由安全:
use Illuminate\Support\Facades\Route;
Route::middleware('auth:sanctum')->get('/user', function (Request $request) {
return $request->user();
});第 2 步:代币生成
使用createToken方法生成个人访问令牌:
use App\Models\User;
use Illuminate\Http\Request;
Route::post('/login', function (Request $request) {
$user = User::where('email', $request->email)->first();
if (! $user || ! Hash::check($request->password, $user->password)) {
return response()->json(['message' => 'Invalid credentials'], 401);
}
return $user->createToken('auth_token')->plainTextToken;
});第 3 步:令牌撤销
撤销用户的注销令牌:
Route::post('/logout', function (Request $request) {
$request->user()->tokens()->delete();
return response()->json(['message' => 'Logged out successfully']);
});单页应用程序 (SPA) 集成
Sanctum 利用基于会话的 SPA 身份验证。
第 1 步:CSRF 保护
确保 EnsureFrontendRequestsAreStateful 中间件在 api 中间件组中正确配置。
第 2 步:前端配置
使用来自 SPA 的经过身份验证的 AJAX 请求发送 CSRF 令牌:
composer require laravel/sanctum
安全最佳实践
- 令牌安全:安全地存储令牌(例如,在仅限 HTTP 的 cookie 中)并防止客户端暴露。
- 令牌过期:实施令牌过期以减轻与泄漏令牌相关的风险。
- 范围限制:定义令牌的特定范围以控制其权限。
结论
Laravel Sanctum 提供了一种用户友好且有效的方法来保护现代应用程序的 API。 其轻量级设计和灵活的 API 简化了开发人员的身份验证,使其成为 SPA 和基于令牌的 API 访问的宝贵工具。 在您的项目中尝试 Sanctum,以充分了解其功能。
以上是使用 Laravel Sanctum 日间构建 API的详细内容。更多信息请关注PHP中文网其他相关文章!
热AI工具
Undresser.AI Undress
人工智能驱动的应用程序,用于创建逼真的裸体照片
AI Clothes Remover
用于从照片中去除衣服的在线人工智能工具。
Undress AI Tool
免费脱衣服图片
Clothoff.io
AI脱衣机
Video Face Swap
使用我们完全免费的人工智能换脸工具轻松在任何视频中换脸!
热门文章
热工具
记事本++7.3.1
好用且免费的代码编辑器
SublimeText3汉化版
中文版,非常好用
禅工作室 13.0.1
功能强大的PHP集成开发环境
Dreamweaver CS6
视觉化网页开发工具
SublimeText3 Mac版
神级代码编辑软件(SublimeText3)
在PHP API中说明JSON Web令牌(JWT)及其用例。
Apr 05, 2025 am 12:04 AM
JWT是一种基于JSON的开放标准,用于在各方之间安全地传输信息,主要用于身份验证和信息交换。1.JWT由Header、Payload和Signature三部分组成。2.JWT的工作原理包括生成JWT、验证JWT和解析Payload三个步骤。3.在PHP中使用JWT进行身份验证时,可以生成和验证JWT,并在高级用法中包含用户角色和权限信息。4.常见错误包括签名验证失败、令牌过期和Payload过大,调试技巧包括使用调试工具和日志记录。5.性能优化和最佳实践包括使用合适的签名算法、合理设置有效期、
PHP 8.1中的枚举(枚举)是什么?
Apr 03, 2025 am 12:05 AM
PHP8.1中的枚举功能通过定义命名常量增强了代码的清晰度和类型安全性。1)枚举可以是整数、字符串或对象,提高了代码可读性和类型安全性。2)枚举基于类,支持面向对象特性,如遍历和反射。3)枚举可用于比较和赋值,确保类型安全。4)枚举支持添加方法,实现复杂逻辑。5)严格类型检查和错误处理可避免常见错误。6)枚举减少魔法值,提升可维护性,但需注意性能优化。
会话如何劫持工作,如何在PHP中减轻它?
Apr 06, 2025 am 12:02 AM
会话劫持可以通过以下步骤实现:1.获取会话ID,2.使用会话ID,3.保持会话活跃。在PHP中防范会话劫持的方法包括:1.使用session_regenerate_id()函数重新生成会话ID,2.通过数据库存储会话数据,3.确保所有会话数据通过HTTPS传输。
描述扎实的原则及其如何应用于PHP的开发。
Apr 03, 2025 am 12:04 AM
SOLID原则在PHP开发中的应用包括:1.单一职责原则(SRP):每个类只负责一个功能。2.开闭原则(OCP):通过扩展而非修改实现变化。3.里氏替换原则(LSP):子类可替换基类而不影响程序正确性。4.接口隔离原则(ISP):使用细粒度接口避免依赖不使用的方法。5.依赖倒置原则(DIP):高低层次模块都依赖于抽象,通过依赖注入实现。
解释PHP中的晚期静态绑定(静态::)。
Apr 03, 2025 am 12:04 AM
静态绑定(static::)在PHP中实现晚期静态绑定(LSB),允许在静态上下文中引用调用类而非定义类。1)解析过程在运行时进行,2)在继承关系中向上查找调用类,3)可能带来性能开销。
什么是REST API设计原理?
Apr 04, 2025 am 12:01 AM
RESTAPI设计原则包括资源定义、URI设计、HTTP方法使用、状态码使用、版本控制和HATEOAS。1.资源应使用名词表示并保持层次结构。2.HTTP方法应符合其语义,如GET用于获取资源。3.状态码应正确使用,如404表示资源不存在。4.版本控制可通过URI或头部实现。5.HATEOAS通过响应中的链接引导客户端操作。
您如何在PHP中有效处理异常(尝试,捕捉,最后,投掷)?
Apr 05, 2025 am 12:03 AM
在PHP中,异常处理通过try,catch,finally,和throw关键字实现。1)try块包围可能抛出异常的代码;2)catch块处理异常;3)finally块确保代码始终执行;4)throw用于手动抛出异常。这些机制帮助提升代码的健壮性和可维护性。
PHP中的匿名类是什么?您何时可以使用它们?
Apr 04, 2025 am 12:02 AM
匿名类在PHP中的主要作用是创建一次性使用的对象。1.匿名类允许在代码中直接定义没有名字的类,适用于临时需求。2.它们可以继承类或实现接口,增加灵活性。3.使用时需注意性能和代码可读性,避免重复定义相同的匿名类。
