在 Laravel 12 中实现 OAuth 2.1

最新推荐文章于 2025-06-24 10:06:24 发布
最新推荐文章于 2025-06-24 10:06:24 发布
阅读量921 收藏 11
点赞数 13
CC 4.0 BY-SA版权
分类专栏: Laravel PHP 经验 文章标签: laravel php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/jjj_web/article/details/147850584

在 Laravel 12 中实现 OAuth 2.1,推荐使用 Laravel Passport(官方 OAuth2 服务器包)或 Laravel Sanctum(轻量级 API 认证)。由于 OAuth 2.1 主要强化了安全性(如强制 PKCE、废除隐式授权等),我们需要结合最新规范进行配置。

方案 1:使用 Laravel Passport(完整 OAuth2 服务器)

Passport 是 Laravel 官方提供的 OAuth2 服务器实现,支持 OAuth 2.1 的核心特性(如 PKCE)。

1. 安装 Laravel Passport

composer require laravel/passport
php artisan passport:install  # 生成加密密钥和客户端密钥

2. 配置 Passport

app/Models/User.php 中启用 HasApiTokens

use Laravel\Passport\HasApiTokens;

class User extends Authenticatable {
    use HasApiTokens, Notifiable;
}

app/Providers/AuthServiceProvider.php 中注册 Passport 路由:

use Laravel\Passport\Passport;

public function boot() {
    Passport::routes(); // 注册 OAuth2 路由
    Passport::hashClientSecrets(); // 加密客户端密钥(OAuth 2.1 推荐)
    Passport::enableImplicitGrant(); // 默认禁用隐式授权(OAuth 2.1 废除)
}

3. 配置 OAuth 2.1 客户端(强制 PKCE)

创建客户端时启用 PKCE:

php artisan passport:client --public --redirect_uri="http://your-app/callback"

或通过代码创建:

$client = Passport::client()->forceFill([
    'user_id' => null,
    'name' => 'PKCE Client',
    'secret' => null, // 公共客户端不存储密钥(OAuth 2.1 要求)
    'redirect' => 'http://your-app/callback',
    'personal_access_client' => false,
    'password_client' => false,
    'revoked' => false,
    'public_client' => true, // 标记为公共客户端(如 SPA 或移动端)
])->save();

4. 实现授权码流程(PKCE 强制)

前端(SPA 或移动端)
  1. 生成 code_verifiercode_challenge(PKCE 要求):
// 使用 crypto-js 或类似库
const codeVerifier = generateRandomString(128);
const codeChallenge = base64UrlEncode(sha256(codeVerifier));
  1. 跳转到授权页面(携带 code_challenge):
GET /oauth/authorize?
    response_type=code&
    client_id=your-client-id&
    redirect_uri=http://your-app/callback&
    scope=user-info&
    code_challenge=your-code-challenge&
    code_challenge_method=S256

  1. 用户授权后,后端返回 authorization_code 到回调地址。

  2. code_verifier 交换令牌:

POST /oauth/token
Content-Type: application/json

{
    "grant_type": "authorization_code",
    "client_id": "your-client-id",
    "redirect_uri": "http://your-app/callback",
    "code": "authorization-code-from-callback",
    "code_verifier": "your-original-code-verifier"
}
后端验证(自动处理 PKCE)

Passport 默认支持 PKCE,无需额外代码。

方案 2:使用 Laravel Sanctum(轻量级 API 认证)

如果不需要完整的 OAuth2 服务器,Sanctum 提供简单的 API 令牌认证(类似 OAuth2 的客户端凭证模式)。

1. 安装 Sanctum

composer require laravel/sanctum
php artisan vendor:publish --provider="Laravel\Sanctum\SanctumServiceProvider"
php artisan migrate

2. 配置 Sanctum

app/Models/User.php 中启用 HasApiTokens

use Laravel\Sanctum\HasApiTokens;

class User extends Authenticatable {
    use HasApiTokens, Notifiable;
}

3. 颁发访问令牌

$user = User::find(1);
$token = $user->createToken('token-name', ['scope:user-info'])->plainTextToken;

4. 验证令牌

Sanctum 会自动验证 Authorization: Bearer <token> 请求头。

OAuth 2.1 关键配置总结

需求Laravel Passport 方案Laravel Sanctum 方案
PKCE 强制默认支持不适用(无授权码流程)
废除隐式授权默认禁用不适用
废除密码模式需手动禁用不适用
客户端认证支持(client_secret仅简单令牌认证
适用场景第三方应用授权(如 GitHub)第一方 SPA / 移动端 API

最佳实践建议

  1. 优先使用 Passport:如果需要完整的 OAuth 2.1 服务器(如第三方登录)。
  2. 禁用不安全模式
    // 在 AuthServiceProvider 中禁用密码模式
Passport::disablePasswordGrant();
  3. 强制 HTTPS:OAuth 2.1 要求所有通信加密。
  4. 限制令牌范围
    $token = $user->createToken('token-name', ['read:user']); // 最小权限原则

完整示例代码

通过以上步骤,你可以在 Laravel 12 中安全地实现 OAuth 2.1 规范。

Oauth2+Jwt实现单点登录
qq_57756904的博客
08-24 2590
SON Web Token (JWT) 是一个开放标准 (RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间安全地传输信息作为 JSON 对象。此信息可以验证和信任,因为它是数字签名的。JWT 可以使用密钥(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。
Laravel+esaywechat实现微信支付
daoxiang_的博客
11-27 1033
Laravel+esaywechat实现微信支付 如果你准备用laravel+easywechat做开发微信了,想必这么项目啊,easywechat都安装好了,我也不说了。 easywechat官网 我是个新手,也是刚搞php,请大佬们多多指教。 支付流程: 1,用户点击支付按钮到后端支付方法。 2,接收参数,价格,商品id等等。然后往订单表插入一条状态为0的数据。 3,带上上面插入的订单的订单号...
Laravel 12 如何实现简单物联网系统?
深山技术宅的博客
05-14 447
本文介绍了如何在 Laravel 12 中构建一个简单的物联网(IoT)系统。系统架构包括设备端(如ESP8266/ESP32或Raspberry Pi)、通信协议(HTTP/REST API或MQTT)、服务器端(Laravel 12)和前端(可选Blade模板或Vue.js/React)。实现步骤包括创建Laravel项目、数据库设置、创建设备模型和控制器、实现API路由、设备控制器实现以及设备端代码示例。文章还提到了可选实时通信的MQTT集成、安全考虑(如API认证、设备认证、HTTPS使用和API访
Spring Security Oauth2.1 最新版 1.1.0 整合 (基于 springboot 3.1.0)gateway 完成授权认证
热门推荐
Ricardo.M.Yu的博客
06-14 2万+
Spring Boot 3.1 提供了一个 spring-boot-starter-oauth2-authorization-server 启动器,可以支持 Spring Authorization Server 的自动配置,轻松配置基于 Servlet 的 OAuth2 授权服务器,同时@EnableAuthorizationServer这些注解也早已废弃。用这个请求来模拟客户端,实际开发中,其实是先访问资源服务,由资源服务来拼接这几个参数来重定向到授权服务的,参数意义如下,
Laravel 12 接口开发的详细指南(基于当前最新稳定版)
最新发布
深山技术宅的博客
06-24 326
本文介绍了 Laravel 12 接口开发的主要步骤:1) 基础环境配置;2) API路由设置;3) 控制器创建;4) 资源控制器实现(包含CRUD操作);5) Sanctum认证集成;6) 接口测试方法。同时还提供了响应格式标准化、请求限速、API文档生成等最佳实践建议。指南涵盖从项目初始化到功能实现的完整开发流程,适合需要快速构建RESTful API的开发者参考。
Spring Authorization Server入门 (一) 初识SpringAuthorizationServer和OAuth2.1协议
云逸的博客
06-01 1万+
Spring authorization server是由社区推动的一个项目,在Spring security团队的领导下基于Nimbus库重头编写,其目的主要是为 Spring 社区提供 OAuth 2.0 授权服务器支持,替代已被废弃的Spring Security OAuth框架。Spring authorization server提供了OAuth 2.1和OpenID Connect 1.0规范以及其他相关规范的实现
OAuth 2OAuth 2.1 之间的差异
ChaITSimpleLove的博客
12-06 1942
`OAuth 2.1` 整合了自 `Oauth 2` 发布以来八年来学到的最佳实践。最初的 `OAuth 2.0` 规范于 `2012` 年 `10` 月作为 `RFC6749` 和 `RFC6750` 发布。它取代了 `2010` 年 `4` 月发布的 `OAuth 1.0`。在随后的几年中,对 `OAuth 2` 进行了许多扩展和修改。新的 `OAuth` 规范已经提出,目前正在讨论中。目前,该规范最近一次更新是在 `2020` 年 `7` 月 `30` 日。如果获得批准...
微服务OAuth 2.1认证授权Demo方案(Spring Security 6)
m0_51390969的博客
02-13 4135
书接上文 微服务OAuth 2.1认证授权可行性方案(Spring Security 6)三个微服务以下是授权相关数据库。当我们知道,我们就可以知道这个用户可以访问哪些资源,并把这些权限(也就是里的字段)写成数组,写到的负载部分的字段中。当用户携带此JWT访问具有修饰的资源时,我们解析出中的字段,判断是否包含指定的权限,以此来完成所谓的的“授权”。 这里需要注意几点 这里需要注意几点这样,微服务颁发的,现在就会包含字段。示例如下 三、gateway微服务代码 1. 统一处理CORS问题 这里需要注意几点
SpringCloud搭建微服务之OAuth2.1认证和授权
liu320yj的博客
10-10 7288
Spring Boot新版本已经不在支持Spring Security OAuth,而是将资源服务和客户端集成到Spring Security 5.2.x版本中,认证服务单独成一个项目为Spring Authorization Server
Laravel中认证与授权的实现
在现代的Web应用程序中,用户认证与授权是非常重要的功能。用户认证是指验证用户身份的过程,确保用户输入的凭据(例如用户名和密码)是有效的。用户授权是指根据用户的角色或权限,决定用户是否有权访问某些资源或...
Laravel中的微服务架构与实现
在当今快节奏的软件开发环境中,传统的单体应用架构已经不再适用于满足快速变化的需求。微服务架构是一种以小型、自治的服务单元为基础的架构风格,这些服务可以独立部署、独立扩展,并通过轻量级通信机制互相协作。...
Laravel构建RESTful API:中间件与认证
weixin_52938153的博客
07-04 809
接下来,我们需要在文件中定义API路由。这将自动为生成标准的RESTful路由,包括indexstoreshowupdate和destroy方法。打开文件,定义策略方法。例如,定义一个update你可以在中定义门。例如,定义一个});你可以在render方法中处理特定的HTTP异常。在});});
微服务安全——OAuth2.1详解、授权码模式、SpringAuthorizationServer实战、SSO单点登录、Gateway整合OAuth2
web15117360223的博客
12-09 2063
Spring Authorization Server 是一个框架,它提供了OAuth 2.1和规范以及其他相关规范的实现。它建立在 Spring Security 之上,为构建 OpenID Connect 1.0 身份提供者和 OAuth2 授权服务器产品提供了一个安全、轻量级和可定制的基础。说白了,Spring Authorization Server 就是一个认证(授权)服务器。
Laravel 12 实现 API 登录令牌认证
深山技术宅的博客
05-02 737
Laravel 12 实现 API 登录令牌认证
OAuth 2.1 的进化之路
寒冰屋的专栏
11-30 547
背景 2010年, OAuth 授权规范 1.0 (rfc 5849) 版本发布, 2年后, 更简单易用的 OAuth 2.0 规范发布(rfc 6749), 这也是大家最熟悉并且在互联网上使用最广泛的版本, 在2012年的时候, iPhone 5 是全新的, 微软最新的浏览器还是 IE9, 单页面应用在当时还被称作 "Ajax 应用", CORS(跨域资源共享)还不是一个W3C标准。 到现在, 网络和移动领域发生了巨大的变化, 当时发布的授权协议标准已经远远不能满足现在的场景和需求, ...
Oauth2.1第三方授权前后端分离实现
程序员们必读的博客,涵盖IT技术、编程经验等领域。
04-16 1998
完成上诉步骤我们就可以进行第三方授权登录了。复盘一下自定义登录页面自定义授权页面请求授权地址监听重定向改造登录成功监听改造(返回成功信息)授权成功监听改造(如果是前端请求则返回成功信息,由前端重定向到成功回调地址)前端登录改造(先请求我们自己的登录接口,成功后再请求oauth2提供的登录接口)https://resource.liulingfengyu.cn/img/扫码_搜索联合传播样式-标准色版压缩版.png。
Laravel12. 模型的预加载
希望我的博客,能帮上你解决学习中工作中所遇到的问题
11-28 81
https://juejin.cn/post/6992005847798775844
Spring Authorization Server 1.0 提供 Oauth 2.1 和 OpenID Connect 1.0 实现
xuejianxinokok的专栏
12-30 2531
在引入Java 社区两年半之后,VMWare发布了Spring Authorization Server 1.0。Spring 授权服务器项目构建在Spring Security之上,支持创建身份提供者和OAuth 2.1授权服务器。该项目取代了不再维护的 Spring Security OAuth项目。Spring Authorization Server 也是基于并且需要 Java 17 作为最低版本。该项目支持功能列表中所述的授权授予、令牌格式、客户端身份验证和协议端点。
Laravel 12 中实践领域驱动设计(DDD)的完整指南
深山技术宅的博客
06-16 1514
本文介绍了如何在Laravel 12中实践领域驱动设计(DDD),构建可维护且业务专注的应用程序。主要内容包括: 项目结构规划 采用分层架构:Domain(核心业务)、Application(用例协调)、Infrastructure(技术实现)和UI(用户界面) 包含聚合根、实体、值对象等核心DDD组件 关键实现步骤 配置项目自动加载路径 创建领域模型(如Order聚合根)和值对象(如Money) 定义仓储接口并实现基础设施层(如EloquentOrderRepository) 代码示例 展示了Order聚
多用户博客空间源码goago Blogs v2.1免费下载
在实际应用中,这类资源的下载者可能是个人站长、开发人员或网站管理者,他们通过定制和扩展源码,来构建独特的博客社区,或者是为特定群体(如特定兴趣爱好者)提供交流空间。此外,开源的多用户博客系统也允许用户...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值