Laravel 與 jwt 多表（多使用者端）驗證隔離的實現

好記性不如爛筆頭，學習php開發也不能懶，作筆記是一種學習的好習慣！
文章來自：mp.weixin.qq.com/s/65TDn04EMTPrdPr...
學習與交流：Laravel技術交流微信群
 

為什麼要做隔離

當同一個 laravel 專案有多端（移動端、管理端……）都需要使用 jwt 做使用者驗證時，如果使用者表有多個（一般都會有），就需要做 token 隔離，不然會發生移動端的 token 也能請求管理端的問題，造成使用者越權。

會引發這個問題的原因是 laravel 的 jwt token 預設只會儲存資料表的主鍵的值，並沒有區分是那個表的。所以只要 token 裡攜帶的 ID 在你的使用者表中都存在，就會導致越權驗證。

我們來看看 laravel 的 jwt token 的原貌：

{
 "iss": "http://your-request-url",
 "iat": 1558668215,
 "exp": 1645068215,
 "nbf": 1558668215,
 "jti": "XakIDuG7K0jeWGDi",
 "sub": 1
}

攜帶資料的是 sub 欄位，其他欄位是 jwt 的驗證欄位。

我們只看到 sub 的值為 1，並沒有說明是那個表或是哪個驗證器的。這個 token 通過你的驗證中介軟體時，你使用不同的 guard 就能拿到對應表 id 為 1 的使用者。

 
解決辦法

想要解決使用者越權的問題，我們只要在 token 上帶上我們的自定義欄位，用來區分是哪個表或哪個驗證器生成的，然後再編寫自己的中介軟體驗證我們的自定義欄位是否符合我們的預期。

 
新增自定義資訊到 token

我們知道要使用 jwt 驗證，使用者模型必須要實現 JWTSubject 的介面（程式碼取自jwt 文件）：

<?php

namespace App;

use Tymon\JWTAuth\Contracts\JWTSubject;
use Illuminate\Notifications\Notifiable;
use Illuminate\Foundation\Auth\User as Authenticatable;

class User extends Authenticatable implements JWTSubject
{
 use Notifiable;

 // Rest omitted for brevity

 /**
  * Get the identifier that will be stored in the subject claim of the JWT.
  *
  * @return mixed
  */
 public function getJWTIdentifier()
 {
  return $this->getKey();
 }

 /**
  * Return a key value array, containing any custom claims to be added to the JWT.
  *
  * @return array
  */
 public function getJWTCustomClaims()
 {
  return [];
 }
}

我們可以看看實現的這兩個方法的作用：

• getJWTIdentifier 的：獲取會儲存到 jwt 宣告中的標識，其實就是要我們返回標識使用者表的主鍵欄位名稱，這裡是返回的是主鍵 ‘id’,

• getJWTCustomClaims：返回包含要新增到 jwt 宣告中的自定義鍵值對陣列，這裡返回空陣列，沒有新增任何自定義資訊。

接下來我們就可以在實現了 getJWTCustomClaims 方法的使用者模型中新增我們的自定義資訊了。

管理員模型：

/**
 * 額外在 JWT 載荷中增加的自定義內容
 *
 * @return array
 */
public function getJWTCustomClaims()
{
 return ['role' => 'admin'];
}

移動端使用者模型：

/**
 * 額外在 JWT 載荷中增加的自定義內容
 *
 * @return array
 */
public function getJWTCustomClaims()
{
 return ['role' => 'user'];
}

這裡新增了一個角色名作為使用者標識。

這樣管理員生成的 token 會像這樣：

{
 "iss": "http://your-request-url",
 "iat": 1558668215,
 "exp": 1645068215,
 "nbf": 1558668215,
 "jti": "XakIDuG7K0jeWGDi",
 "sub": 1,
 "role": "admin"
}

移動端使用者生成的 token 會像這樣：

{
 "iss": "http://your-request-url",
 "iat": 1558668215,
 "exp": 1645068215,
 "nbf": 1558668215,
 "jti": "XakIDuG7K0jeWGDi",
 "sub": 1,
 "role": "user"
}

我們可以看到這裡多了一個我們自己加的 role 欄位，並且對應我們的使用者模型。

接下來我們自己寫一箇中介軟體，解析 token 後判斷是否是我們想要的角色，對應就通過，不對應就報 401 就好了。

編寫 jwt 角色校驗中介軟體

這裡提供一個可全域性使用的中介軟體 (推薦用在使用者驗證中介軟體前)：

<?php
/**
 * Created by PhpStorm.
 * User: wlalala
 * Date: 2019-04-17
 * Time: 13:55
 */

namespace App\Http\Middleware;

use Closure;
use Symfony\Component\HttpKernel\Exception\UnauthorizedHttpException;
use Tymon\JWTAuth\Exceptions\JWTException;
use Tymon\JWTAuth\Http\Middleware\BaseMiddleware;

class JWTRoleAuth extends BaseMiddleware
{
 /**
  * Handle an incoming request.
  *
  * @param $request
  * @param Closure $next
  * @param null $role
  * @return mixed
  */
 public function handle($request, Closure $next, $role = null)
 {
  try {
   // 解析token角色
   $token_role = $this->auth->parseToken()->getClaim('role');
  } catch (JWTException $e) {
   /**
    * token解析失敗，說明請求中沒有可用的token。
    * 為了可以全域性使用（不需要token的請求也可通過），這裡讓請求繼續。
    * 因為這個中介軟體的責職只是校驗token裡的角色。
    */
   return $next($request);
  }

  // 判斷token角色。
  if ($token_role != $role) {
   throw new UnauthorizedHttpException('jwt-auth', 'User role error');
  }

  return $next($request);
 }
}

註冊 jwt 角色校驗中介軟體

在 app/Http/Kernel.php 中註冊中介軟體：

/**
  * The application's route middleware.
  *
  * These middleware may be assigned to groups or used individually.
  *
  * @var array
  */
 protected $routeMiddleware = [
  // ...省略 ...

  // 多表jwt驗證校驗
  'jwt.role' => \App\Http\Middleware\JWTRoleAuth::class,
 ];

使用 jwt 角色校驗中介軟體

接下來在需要使用者驗證的路由組中新增我們的中介軟體:

Route::group([
 'middleware' => ['jwt.role:admin', 'jwt.auth'],
], function ($router) {
 // 管理員驗證路由
 // ...
});

Route::group([
 'middleware' => ['jwt.role:user', 'jwt.auth'],
], function ($router) {
 // 移動端使用者驗證路由
 // ...
});

至此完成 jwt 多表使用者驗證隔離。

本作品採用《CC 協議》，轉載必須註明作者和本文連結