在Laravel框架中，默認的用戶認證守衛有兩個，web和api，web守衛默認的驅動是session，而api守衛默認的驅動是token。那么，該如何使用這個token驅動？

尋找 TokenGuard

通過 Auth::guard() 這個方法，可以追溯到 token 驅動對應的類。來看Illuminate\Auth\AuthManager中的代碼：

/**

* Attempt to get the guard from the local cache.

*

* @param string $name

* @return \Illuminate\Contracts\Auth\Guard|\Illuminate\Contracts\Auth\StatefulGuard

*/

public function guard($name = null)

{

$name = $name ?: $this->getDefaultDriver();

return $this->guards[$name] ?? $this->guards[$name] = $this->resolve($name);

}

/**

* Resolve the given guard.

*

* @param string $name

* @return \Illuminate\Contracts\Auth\Guard|\Illuminate\Contracts\Auth\StatefulGuard

*

* @throws \InvalidArgumentException

*/

protected function resolve($name)

{

$config = $this->getConfig($name);

if (is_null($config)) {

throw new InvalidArgumentException("Auth guard [{$name}] is not defined.");

}

if (isset($this->customCreators[$config['driver']])) {

return $this->callCustomCreator($name, $config);

}

$driverMethod = 'create'.ucfirst($config['driver']).'Driver';

if (method_exists($this, $driverMethod)) {

return $this->{$driverMethod}($name, $config);

}

throw new InvalidArgumentException("Auth driver [{$config['driver']}] for guard [{$name}] is not defined.");

}

可以看到，默認情況下就會調用到 createTokenDriver 。來看看這個方法：

public function createTokenDriver($name, $config)

{

// The token guard implements a basic API token based guard implementation

// that takes an API token field from the request and matches it to the

// user in the database or another persistence layer where users are.

$guard = new TokenGuard(

$this->createUserProvider($config['provider'] ?? null),

$this->app['request']

);

$this->app->refresh('request', $guard, 'setRequest');

return $guard;

}

顯然，api守衛默認的驅動就是TokenGuard。

解讀 TokenGuard

/**

* Create a new authentication guard.

*

* @param \Illuminate\Contracts\Auth\UserProvider $provider

* @param \Illuminate\Http\Request $request

* @param string $inputKey

* @param string $storageKey

* @return void

*/

public function __construct(UserProvider $provider, Request $request, $inputKey = 'api_token', $storageKey = 'api_token')

{

$this->request = $request;

$this->provider = $provider;

$this->inputKey = $inputKey;

$this->storageKey = $storageKey;

}

/**

* Get the currently authenticated user.

*

* @return \Illuminate\Contracts\Auth\Authenticatable|null

*/

public function user()

{

// If we've already retrieved the user for the current request we can just

// return it back immediately. We do not want to fetch the user data on

// every call to this method because that would be tremendously slow.

if (! is_null($this->user)) {

return $this->user;

}

$user = null;

$token = $this->getTokenForRequest();

if (! empty($token)) {

$user = $this->provider->retrieveByCredentials(

[$this->storageKey => $token]

);

}

return $this->user = $user;

}

從構造函數和 user() 方法中可以看出，默認使用

['api_token' => $token]

這個數組去獲取用戶，也就是說，在用戶表中我們需要一個字段(默認api_token)去存儲標識用戶的 token。

開始使用 token 進行api認證

添加數據表字段

use Illuminate\Support\Facades\Schema;

use Illuminate\Database\Schema\Blueprint;

use Illuminate\Database\Migrations\Migration;

class AddUsersApiTokenField extends Migration

{

/**

* Run the migrations.

*

* @return void

*/

public function up()

{

Schema::table('users', function (Blueprint $table) {

$table->string('api_token', 60)->unique()->nullable()->after('password');

});

}

/**

* Reverse the migrations.

*

* @return void

*/

public function down()

{

Schema::table('users', function (Blueprint $table) {

$table->dropColumn('api_token');

});

}

}

創建登錄控制器

這里不演示注冊之類的，假設我們的 users 表中已經存在用戶，先創建一個用于 api 登錄的控制器。在每次登錄的時候，更新一次用戶的 api_token 。這里使用了 ThrottlesLogins ，用來控制登錄的嘗試次數。

namespace App\Http\Controllers\Api;

use Hash;

use App\User;

use Illuminate\Http\Request;

use App\Http\Controllers\Controller;

use Illuminate\Foundation\Auth\ThrottlesLogins;

use Illuminate\Validation\ValidationException;

class LoginController extends Controller

{

use ThrottlesLogins;

/**

* @param Request $request

* @return \Illuminate\Http\Response|void

* @throws ValidationException

*/

public function login(Request $request)

{

$this->validateLogin($request);

if ($this->hasTooManyLoginAttempts($request)) {

return $this->sendLockoutResponse($request);

}

return $this->attempLogin($request);

}

/**

* @param Request $request

*/

public function validateLogin(Request $request)

{

$this->validate($request, [

$this->username() => 'required|string',

'password' => 'required|string'

]);

}

/**

* @param Request $request

* @return \Illuminate\Http\Response|void

*/

protected function attempLogin(Request $request)

{

$this->incrementLoginAttempts($request);

$user = User::where('email', $request->email)->first();

if (!$user || !Hash::check($request->password, $user->password)) {

return $this->sendFailedLoginResponse($request);

}

// 更新 api_key

$api_token = uniqid($user->id);

$user->api_token = $api_token;

$user->save();

return $this->sendLoginResponse($request, $user);

}

/**

* @param Request $request

*/

protected function sendFailedLoginResponse(Request $request)

{

throw ValidationException::withMessages([

$this->username() => [trans('auth.failed')],

]);

}

/**

* @param Request $request

* @param User $user

* @return \Illuminate\Http\Response

*/

protected function sendLoginResponse(Request $request, User $user)

{

$this->clearLoginAttempts($request);

return \Response::make([

'user' => $user,

'token' => $user->api_token

]);

}

public function username()

{

return 'email';

}

}

添加登錄路由

將 routes\api.php 修改如下：

Route::namespace('Api')->group(function () {

Route::post('login', 'LoginController@login');

}); # 登錄路由

Route::middleware('auth:api')->get('/user', function (Request $request) {

return $request->user();

});

調試

測試之前先往 users 表中添加幾個用戶，以下是我的測試數據。

可以看到登錄成功并且返回了 token 。

接下去我們使用獲取到的 token 請求需要登錄的接口，默認有一個，就是/user.

ok~ 已經成功返回了數據，說明登錄成功了！

例子中，api_token 是通過 OAuth 2.0 Access Token 的形式傳進去的，但這不是唯一的方法，可以查看 TokenGuard 中的 getTokenForRequest 這個方法，它告訴我們可以用四種不同的形式傳入 api_token

總結

默認的 api token 認證雖然在文檔中沒有提及如何使用，但是通過查看代碼，也很容易使用。但是，在我們不重寫或者擴展 tokenGUard的情況下，api_token 簡直就是裸奔，顯然不可能就這樣應用到項目中去。個人猜測，框架中提供這個功能是為了讓我們更好的理解 api 認證的工作原理，方便我們開發自己需要的 guard ，而且官方文檔也推薦我們使用 passport 或者 jwt 進行 api 認證。

本文出于個人對默認配置的好奇進而探究之后寫下的一片文章，也借鑒了網上的部分文章(忘記查看的文章地址了，也懶得找了)，如有理解不到位或者錯誤的，請！斧！正！

歡迎任何形式轉載，記得注明出處哦！

本作品采用《CC 協議》，轉載必須注明作者和本文鏈接

總結

以上是生活随笔為你收集整理的oracle access manager token,Laravel 自带的 API 守卫驱动 token 使用详解的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。