Laravel jwt 多表(多用户端)验证隔离的实现
Tips: tymon/jwt-auth 作者已通过增加 prv 字段修复这一问题#1167,但是如果你是用 dingo api + jwt 的话,该问题依然存在。#
JWT 多表验证隔离
为什么要做隔离
当同一个 laravel 项目有多端(移动端、管理端……)都需要使用 jwt 做用户验证时,如果用户表有多个(一般都会有),就需要做 token 隔离,不然会发生移动端的 token 也能请求管理端的问题,造成用户越权。
会引发这个问题的原因是 laravel 的 jwt token 默认只会存储数据表的主键的值,并没有区分是那个表的。所以只要 token 里携带的 ID 在你的用户表中都存在,就会导致越权验证。
我们来看看 laravel 的 jwt token 的原貌:
{
"iss": "http://your-request-url",
"iat": 1558668215,
"exp": 1645068215,
"nbf": 1558668215,
"jti": "XakIDuG7K0jeWGDi",
"sub": 1
}
携带数据的是 sub 字段,其他字段是 jwt 的验证字段。
我们只看到 sub 的值为 1,并没有说明是那个表或是哪个验证器的。这个 token 通过你的验证中间件时,你使用不同的 guard 就能拿到对应表 id 为 1 的用户(了解 guard 请查看 laravel 的文档)。
解决办法
想要解决用户越权的问题,我们只要在 token 上带上我们的自定义字段,用来区分是哪个表或哪个验证器生成的,然后再编写自己的中间件验证我们的自定义字段是否符合我们的预期。
添加自定义信息到 token
我们知道要使用 jwt 验证,用户模型必须要实现 JWTSubject 的接口(代码取自jwt 文档):
<?php
namespace App;
use TymonJWTAuthContractsJWTSubject;
use IlluminateNotificationsNotifiable;
use IlluminateFoundationAuthUser as Authenticatable;
class User extends Authenticatable implements JWTSubject
{
use Notifiable;
// Rest omitted for brevity
/**
* Get the identifier that will be stored in the subject claim of the JWT.
*
* @return mixed
*/
public function getJWTIdentifier()
{
return $this- getKey();
}
/**
* Return a key value array, containing any custom claims to be added to the JWT.
*
* @return array
*/
public function getJWTCustomClaims()
{
return [];
}
}
我们可以看看实现的这两个方法的作用:
- getJWTIdentifier 的:获取会储存到 jwt 声明中的标识,其实就是要我们返回标识用户表的主键字段名称,这里是返回的是主键 ‘id’,
- getJWTCustomClaims:返回包含要添加到 jwt 声明中的自定义键值对数组,这里返回空数组,没有添加任何自定义信息。
接下来我们就可以在实现了 getJWTCustomClaims 方法的用户模型中添加我们的自定义信息了。
管理员模型:
/**
* 额外在 JWT 载荷中增加的自定义内容
*
* @return array
*/
public function getJWTCustomClaims()
{
return ['role' = 'admin'];
}
移动端用户模型:
/**
* 额外在 JWT 载荷中增加的自定义内容
*
* @return array
*/
public function getJWTCustomClaims()
{
return ['role' = 'user'];
}
这里添加了一个角色名作为用户标识。
这样管理员生成的 token 会像这样:
{
"iss": "http://your-request-url",
"iat": 1558668215,
"exp": 1645068215,
"nbf": 1558668215,
"jti": "XakIDuG7K0jeWGDi",
"sub": 1,
"role": "admin"
}
移动端用户生成的 token 会像这样:
{
"iss": "http://your-request-url",
"iat": 1558668215,
"exp": 1645068215,
"nbf": 1558668215,
"jti": "XakIDuG7K0jeWGDi",
"sub": 1,
"role": "user"
}
我们可以看到这里多了一个我们自己加的 role 字段,并且对应我们的用户模型。
接下来我们自己写一个中间件,解析 token 后判断是否是我们想要的角色,对应就通过,不对应就报 401 就好了。
编写 jwt 角色校验中间件
这里提供一个可全局使用的中间件 (推荐用在用户验证中间件前):
<?php
/**
* Created by PhpStorm.
* User: wlalala
* Date: 2019-04-17
* Time: 13:55
*/
namespace AppHttpMiddleware;
use Closure;
use SymfonyComponentHttpKernelExceptionUnauthorizedHttpException;
use TymonJWTAuthExceptionsJWTException;
use TymonJWTAuthHttpMiddlewareBaseMiddleware;
class JWTRoleAuth extends BaseMiddleware
{
/**
* Handle an incoming request.
*
* @param $request
* @param Closure $next
* @param null $role
* @return mixed
*/
public function handle($request, Closure $next, $role = null)
{
try {
// 解析token角色
$token_role = $this- auth- parseToken()- getClaim('role');
} catch (JWTException $e) {
/**
* token解析失败,说明请求中没有可用的token。
* 为了可以全局使用(不需要token的请求也可通过),这里让请求继续。
* 因为这个中间件的责职只是校验token里的角色。
*/
return $next($request);
}
// 判断token角色。
if ($token_role != $role) {
throw new UnauthorizedHttpException('jwt-auth', 'User role error');
}
return $next($request);
}
}
注册 jwt 角色校验中间件
在 app/Http/Kernel.php 中注册中间件:
/**
* The application's route middleware.
*
* These middleware may be assigned to groups or used individually.
*
* @var array
*/
protected $routeMiddleware = [
// ...省略 ...
// 多表jwt验证校验
'jwt.role' = AppHttpMiddlewareJWTRoleAuth::class,
];
使用 jwt 角色校验中间件
接下来在需要用户验证的路由组中添加我们的中间件:
Route::group([
'middleware' = ['jwt.role:admin', 'jwt.auth'],
], function ($router) {
// 管理员验证路由
// ...
});
Route::group([
'middleware' = ['jwt.role:user', 'jwt.auth'],
], function ($router) {
// 移动端用户验证路由
// ...
});
至此完成 jwt 多表用户验证隔离。
以上就是本文的全部内容,希望对大家的学习有所帮助。
- 回顾2017年5大科技突破,“时间晶体”充满想象!
- 1宽币=883?山本宽称要发行自己的数字货币
- 十种深度学习算法要点及代码解析
- 王健林旗下万达网科被曝大裁员 总裁出面说话了
- lodash源码分析之缓存方式的选择
- 《物联网智能终端信息安全白皮书》发布
- SemCmsv2_4 Function_php文件过滤不严导致Sql注入
- Python为什么这么火?聆听Python之父诠释Python的精神和文化
- 阿里程序员2017年终总结:web前端最有效学习方法!让你少走弯路
- 《关于深化“互联网+先进制造业”发展工业互联网的指导意见》的系列解读 解读二:打造平台体系
- 2018最火的AI丶云计算丶大数据丶物联网丶量子计算五大热门之间的关系
- 人工智能或能帮助揭示永葆青春的秘密 寻减缓衰老药物
- 近百万的“荣耀”域名遭仲裁 两个终端的对决
- IT专业人员如何看待软件定义的数据中心市场
- php概述
- php教程
- php环境搭建
- PHP书写格式
- php变量
- php常量
- PHP注释
- php数组
- php字符串 string
- PHP整型 integer
- PHP浮点型 float
- php布尔型
- php数据类型之数组
- php数据类型之对象
- php数据类型之null
- php数据类型之间的转换
- php运算符
- php表达式
- PHP循环控制
- PHP流程控制
- php函数
- php全局变量
- PHP魔术变量
- php命名空间
- php 日期
- PHP包含文件
- php文件
- PHP 文件上传
- php Cookies
- php Sessions
- php email
- php安全email
- php错误处理
- PHP异常处理
- php过滤器
- PHP 高级过滤器
- php json
- php 表单
- PHP MySQL 简介
- PHP 连接 MySQL
- php创建数据库
- php 创建表
- php mysq 插入数据
- PHP MySQL 插入多条数据
- PHP MySQL 预处理语句
- php mysql 读取数据
- php mysql where
- PHP MySQL Order By
- PHP MySQL Update
- PHP MySQL Delete
- php ODBC
- Tsunami:一款功能强大的通用网络安全扫描工具
- Hive查看表/分区更新时间
- 直接通过手机抓取GPS的qxdm日志
- uniapp常用提示框uni.showToast(OBJECT)
- MySQL 索引(3)
- TS 设计模式04 - 适配器模式
- WebRTC | 原理、架构、框架目录、运行机制、核心类、PeerConnection调用过程等详解
- sql注入总结笔记
- WebRTC | Web服务器原理、Nodejs工作原理、Nodejs事件处理流程、V8引擎等要点解析
- OpenGL ES 3.0 | 围绕HelloTriangle实战案例 展开 渲染流程分析
- 基于 Kotlin + Netty 实现一个简单的 TCP 自定义协议
- dnslog带出——sqli-labs第8关
- Boolean源码解剖学
- SpringBoot+Mybatis整合出现org.apache.ibatis.binding.BindingException: Invalid bound statement (not found
- xss-labs第1~13关