Laravel 中使用 JWT 作用户登录,身份认证

已于 2025-05-27 08:32:58 修改
阅读量935 收藏 16
点赞数 32
分类专栏: Laravel 文章标签: laravel php JWT AUTH认证
于 2025-04-01 14:35:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zhu_lizhen/article/details/146873949
版权

文章目录

什么是JWT:

JWT 全名 JSON Web Token,是一种开放标准 (RFC 7519)。

用于在网络应用环境间安全地传输信息作为 JSON 对象。

它是一种轻量级的认证和授权机制,特别适合分布式系统的身份验证。

核心特点

  1. 紧凑格式:体积小,可通过URL、POST参数或HTTP头发送
  2. 自包含:包含所有必要信息,减少数据库查询
  3. 可验证:使用数字签名保证完整性
  4. 跨语言支持:几乎所有主流编程语言都有实现

JWT 的结构

由三部分组成,用点(.)分隔:

Header.Payload.Signature

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJodHRwOi8vZGV2LXNob3AtbWFuYWdlLWFwaS5ob21lLmtsZi5jb20vc2hvcC1hcGkvbG9naW4iLCJpYXQiOjE3NDM0MTM1NjcsImV4cCI6MTc0MzQxNzE2NywibmJmIjoxNzQzNDEzNTY3LCJqdGkiOiJUZjR1OENxRHB0dW9vTHZpIiwic3ViIjoiNDgwMyIsInBydiI6IjI3ZjQxNDY0MDE3YjAwZTE5MmIxNzUyNjMzNGJlNmI1ZGIwYTBkOTQifQ.5uRxjozQ89eK-zSPLF8aV2bKxWXpsJRgR5XmU9sCy3Q

工作流程

  1. 用户登录:客户端发送凭据到认证服务器
  2. 验证凭据:服务器验证后生成JWT
  3. 返回JWT:服务器将JWT返回给客户端
  4. 存储JWT:客户端存储JWT(通常localStorage或cookie)
  5. 携带JWT:客户端在请求头中发送JWT
Authorization: Bearer <token>
  1. 验证JWT:服务器验证JWT并授权访问

laravel 安装配置JWT

1.安装JWT包

composer require tymon/jwt-auth

![在这里插入图片描述](https://i-blog.csdnimg.cn/direct/e5df5c6f62ed41e5aee53e68f09e9c8e.png

2.发布 JWT 配置文件

php artisan vendor:publish --provider="Tymon\JWTAuth\Providers\LaravelServiceProvider"

在这里插入图片描述
此时会在config 目录下生成 jwt.php 配置文件

3. 生成密钥

php artisan jwt:secret

这会在 .env 文件中添加 JWT_SECRET,注意的是 生产环境单独生成,为了安全

用户登录配置

1.用户模型配置

创建用户模型文件,必须继承 Authenticatable ,实现 两个方法 getJWTIdentifiergetJWTCustomClaims,必须的。

<?php

namespace App\Models;

use Tymon\JWTAuth\Contracts\JWTSubject;
use Illuminate\Foundation\Auth\User as Authenticatable;

class AdminUser extends Authenticatable implements JWTSubject
{
    // ... 其他代码
    
    /**
     * 获取JWT标识符
     */
    public function getJWTIdentifier()
    {
        return $this->getKey();
    }

    /**
     * 获取JWT自定义声明
     */
    public function getJWTCustomClaims()
    {
        return [
            'role' => $this->role,  // 示例:添加用户角色到token
            // 可以添加更多自定义声明
        ];
    }
}

2.配置 auth.php

文件: config/auth.php

(2.1) 配置 Guard(守卫)

Guard 是 Laravel 认证系统的核心概念之一,它定义了:

  • 如何认证用户(使用什么驱动 driver)

    • session:传统的 web 应用认证方式(使用 cookies 和 session)

    • token:API 令牌认证(Laravel 自带的基础 token 认证)

    • jwt:使用 JWT 包提供的认证驱动

  • 从哪里获取用户信息(使用什么 provider

    • 指定使用哪个用户提供者(在 providers 数组中定义)

代码如下:

'guards' => [
    'web' => [
         'driver' => 'session',
         'provider' => 'users',
     ],
     //后台api守卫
     'admin-api' => [
         'driver' => 'jwt',  // 修改为 jwt 驱动
         'provider' => 'admin-user',  // 使用admin-user 作为 provider
     ],
 ],
  1. admin-api 是我定义的后台api的守卫
  2. driver驱动 设置JWT
  3. provider 用户提供者 用 admin-user
(2.2) 配置 providers (用户提供者)
'providers' => [
    'users' => [
        'driver' => 'eloquent',
        'model' => App\Models\User::class,
    ],
    'admin-user' => [
        'driver' => 'eloquent',
        'model' => AdminUser::class,
    ]
],
  1. admin-user 为前面引用的 用户提供者 名称
  2. driver 为 数据驱动
    • eloquent 驱动(最常用),使用 Eloquent ORM 从数据库获取用户
      • 使用 eloquent 驱动时,模型必须实现 Authenticatable 接口,具体看第一步
    • database 驱动,直接使用数据库查询构造器(非 Eloquent)
  3. model 为第一步定义的用户模型 AdminUser
(2.3) 配置 默认守卫
 'defaults' => [
        'guard' => 'admin-api',
        'passwords' => 'users',
    ],

passwords 配置项用于定义密码重置功能的相关设置。此文章不细说

3.登录控制器开发

login控制器有两种验证机制:

  1. 手动验证登录,auth 生成token【常用】
  2. 自动验证登录,生成token【注意密码】

手动验证登录

// 获取用户实例
$user = User::where('mobile', $request->mobile)->first();

// 手动验证密码
if (!Hash::check($request->password, $user->password)) {
    return response()->json(['error' => '密码错误'], 401);
}

// 生成Token的三种方式(任选其一)
// 方式1:直接通过用户实例生成
$token = JWTAuth::fromUser($user); 

// 方式2:使用auth辅助函数
$token = auth()->login($user); 

// 或者自定义claims
$token = JWTAuth::claims([
    'user_type' => $user->type,
    'exp' => now()->addDays(30)->timestamp // 自定义过期时间
])->fromUser($user); 

// 返回带Token的响应
return response()->json([
    'access_token' => $token,
    'token_type' => 'bearer',
    'user' => auth()->user(),
]);

上述就是登录验证 和 获取token 分离

  1. auth 为laravel的认证系统,使用默认守卫进行生成token
  2. auth()->user() 可获取到登录的用户信息

自动验证登录

// 验证输入
$validator = Validator::make($request->all(), [
     'mobile' => 'required|string|size:11', // 假设手机号是11位
     'password' => 'required|string|min:6',
 ]);

 if ($validator->fails()) {
     return response()->json([
         'status' => 'error',
         'message' => '参数验证失败',
         'errors' => $validator->errors()
     ], 422);
 }
 
// 使用手机号作为登录凭证
$credentials = $request->only('mobile', 'password');

$token = Auth::guard('admin-api')->attempt(['mobile' => $mobile, 'password' => $password, 'state' => 1]);
 if($token){
     $user = Auth::guard('admin-api')->user();
     return $this->success('登录成功', [
         'token' => $token,
         'user' => $user,
     ]);
 }else{
     return $this->error('您输入的账号或密码错误', 103);
 }

注意

使用 attempt 方法时,需要注意你的密码是否是用 Bcrypt 算法哈希,如果不是,则会有以下报错

This password does not use the Bcrypt algorithm.
在这里插入图片描述
原因Laravel 默认认证系统 Auth(包括 attempt() 方法)强制要求使用 Bcrypt 算法,只有Bcrypt 算法生成的密码,才能验证通过。

通过在 Hash Facade 上调用 make 方法来哈希密码

Hash::make($request->newPassword)

小结下:

  • 自动验证要求比较严格,但是也是有解决办法的。这里不过多说明,
  • 正常情况下。我是手动验证。然后生成token.。
  • 目前的遇到的验证,账号密码,手机号验证码等等。手动验证,灵活一点

4.前端构建请求

在这里插入图片描述

5.中间件补充

目录:app/Http/Middleware/UserCheckToken.php

<?php

namespace App\Http\Middleware;

use App\Http\Trait\ResponseJson;
use Closure;
use Tymon\JWTAuth\Facades\JWTAuth;

class UserCheckToken
{
    use ResponseJson;

    public function handle($request, Closure $next)
    {
        try{
            $user = auth()->user();
            if(!$user){
                return $this->error('用户未找到', 401);
            }
        }
        catch(\Exception $e){
            return $this->error('Token 验证失败', 401);
        }

        return $next($request);
    }

}

创建中间件 UserCheckToken

auth()->user() 的作用

  • 验证请求携带有效的 JWT Token(Authorization: Bearer xxx)
  • JWT 会自动解析 Token还原用户信息

注意:

  1. 同一次请求中多次调用 auth()->user() 不会重复查询数据库,第一次查询数据库,第二次返回内存缓存
  2. 缓存持续到当前 HTTP 请求结束下次请求会重新解析 Token。

6. 路由配置中间件

Route::middleware([UserCheckToken::class])->group(function(){
    Route::get('/test', [TestController::class, 'index']);
});

将需要验证登录信息的接口,放在此中间件下即可。

上述即完整的用Jwt 实现用户的登录。里面有很多的知识点都可以进行扩展,可以实现很多强大的,自定义的需求。

使用Laravel中的JWT进行身份验证和授权
YxmtAi的博客
09-23 891
使用Laravel中的JWT进行身份验证和授权是一种安全且灵活的方式。通过安装"tymon/jwt-auth"扩展包,配置用户模型和创建相应的控制器,我们可以轻松地在Laravel应用中实现JWT功能。使用JWT进行身份验证和授权能够有效地保护你的API,并提供良好的用户体验。在Laravel框架中,我们可以使用"tymon/jwt-auth"扩展包来实现JWT的功能。如果身份验证成功,你将收到一个包含JWT的响应。你可以将该JWT存储在客户端,并在后续的请求中使用它进行授权。方法来验证用户的凭据。
Laravel使用jwt
雪人骑士的博客
07-12 526
【代码】Laravel使用jwt
Laravel 11 JSON Web Token(JWT) API Authentication教程
cighsen02的博客
09-04 2502
我将向您展示如何在 laravel 11 应用程序中使用 JWT 令牌进行 API 身份验证。我们将从头开始学习 API、JWT REST API 和 Laravel JWT 身份验证,并创建一个示例 API。
laravel5.5入门(dingo+jwt)
SilentVoidCan的专栏
09-13 871
首先我们确保本机已经配置好PHP和mysql。所有问题默认回答y,等待命令执行完毕。laravel的脚手架确实还是非常好用,这样一个新的项目就已经创建完毕了,可以直接运行查看。正常的话我们就可以在浏览器输入http://127.0.0.1:8000看到Laravel样式的输出。
JWT 生成、验证及其在实际项目中的应用详解
最新发布
hilldown159357的博客
04-27 489
是一种开放标准(RFC 7519),用于在各方之间安全传输信息。它以紧凑的 JSON 对象形式表示,可通过签名(HMAC 或 RSA)保证数据完整性。Header:声明令牌类型和签名算法(如HS256Payload:存储实际数据(如用户信息、过期时间)。Signature:对前两部分的签名,用于防篡改。应用场景:身份认证(如 RESTful API 鉴权)、信息交换(跨服务安全传输数据)等。JWT 提供了一种轻量级、无状态的身份验证方案,适用于分布式系统和 RESTful API。
Laravel使用 jwt-auth 实现用户 Token 登录验证(案例实战)
雾里看花的博客
06-04 3241
jwt-auth(JSON Web Token Authentication)是一种基于 JSON Web Token(JWT)的用户认证机制。它是一个流行的身份验证方案,通过在用户登录后生成令牌(Token),并在每次请求中传递该令牌来验证用户身份。JWT Token 的结构一般包含三部分:Header、Payload 和 Signature。Header 包含了 Token 类型和算法信息;Payload 包含了 Token 的声明和自定义的附加信息;
使用JWT实现Token认证
zy103118的博客
10-21 619
为什么使用JWT? 随着技术的发展,分布式web应用的普及,通过session管理用户登录状态成本越来越高,因此慢慢发展成为token的方式做登录身份校验,然后通过token去取redis中的缓存的用户信息,随着之后jwt的出现,校验方式更加简单便捷化,无需通过redis缓存,而是直接根据token取出保存的用户信息,以及对token可用性校验,单点登录更为简单。这里还有一个在线的的JWT生成器 什么时候你应该用JSON Web Tokens 下列场景中使用JSON Web Token是...
laravel使用jwt
小信的博客
09-06 1819
jwt它的两大使用场景是:认证和数据交换 安装及基础配置 使用 composer 安装 composer require tymon/jwt-auth 在安装完成后,会生成这样一个目录 进行一些配置–只对laravel5.4以下的版本 这里值得注意的是,有些文档会说要添加Tymon\JWTAuth\Providers\LaravelServiceProvider::class ,这只在 Laravel 5.4 及以下版本是必要的,更新的 Laravel 版本无需添加。 发布配置文件 //这条命令会在
laravel firebase/php-jwt token验证
anhaogou8771的博客
08-03 1441
1、说明 这里的jwt和之前另外一篇的jwt有些不一样,之前的是基于用户的接口验证,即需要接口登录,此jwt则是基于一个唯一标识,如移动设备唯一ID或手机号码等能够为唯一标识的数据信息,通过它来完成token签发、验证。 2、安装 composer require firebase/php-jwt 3、使用 3.1、签发token public function createToken...
Laravel快速接入JWT用户认证(多用户认证)tymon/jwt-auth
Gan_1314的博客
11-11 3780
JWT 是 JSON Web Token 的缩写,它是一个规范,让用户和服务器之间传递安全可靠的信息。
Laravel jwt token
qq_29744347的博客
04-10 735
文章目录前言配置(config/jwt.php)token生成token传递方式验证方式token刷新获取用户信息存储驱动 前言 # 使用组件 https://github.com/tymondesigns/jwt-auth # 组件安装 composer require tymon/jwt-auth # 将配置文件copy到config目录下 # config/jwt.php php artisan vendor:publish --provider="Tymon\JWTAuth\Providers\La
Boilerplate-Laravel-Auth:Boilerplate laravel 8 API jwt基于角色的身份验证
02-09
Laravel通过减轻许多Web项目中使用的常见任务来减轻开发工的痛苦,例如: 。 。 用于和存储的多个后端。 直观的表达 。 数据库不可知。 。 。 Laravel易于访问,功能强大,并提供大型,强大应用程序所需...
laravel-jwt-auth-product:此存储库是为在Laravel 5.6中使用jwt身份验证教程中的Restful API创建的
05-17
Laravel 5.6中的Restful API使用jwt身份验证 如何安装 克隆存储库 在.env文件中设置数据库凭据 运行php artisan migrate迁移数据库 运行composer update 阅读中的的教程, 在了解更多信息。
laravel-api-setup:使用JWT进行多次身份验证登录
02-18
Laravel通过减轻许多Web项目中使用的常见任务来减轻开发工的痛苦,例如: 。 。 用于和存储的多个后端。 直观的表达 。 数据库不可知。 。 。 Laravel易于访问,功能强大,并提供大型,强大应用程序所需...
laravel使用jwt
ddliyoutang的博客
04-08 1094
安装jwt扩展 composer require tymon/jwt-auth 发布配置 php artisan vendor:publish --provider="Tymon\JWTAuth\Providers\LaravelServiceProvider" 生成秘钥 php artisan jwt:secret 在模型里面去使用 use Tymon\JWTAuth\Contracts\JWTSubject; 必须实现下面两个方法 public function getJWTIdentifie
Laravel Auth 调用 tymon/jwt-auth 源码分析
weetch的博客
07-01 594
捕获该异常,这也是为什么不管是。这里省略安装步骤,直接写使用过程。请求过来后使用了中间件,会调用。在请求通过路由时执行中间件,中间件的错误提示一直是。实例,失败则统一抛出。时,会导致一直未认证
laravel-jwt
qq_35935748的博客
04-30 309
laravel-jwt权限 我的laravel 是6.0的 1、安装 ​ composer require tymon/jwt-auth 2、配置app.config //providers元素中添加: Tymon\JWTAuth\Providers\LaravelServiceProvider::class, //aliases元素中添加: 'JWTAuth' => Tymon\...
07. Laravel JWT用户登录
从器之道 从一而终
05-09 392
【代码】07. Laravel JWT用户登录
laravel8使用tymon/jwt-auth登录
yangyouchang的专栏
09-11 1353
10.生成demo测试用户,在app\Console目录下新增Commands的目录,并创建CreateDemoUser 类。15.新增登录拦截中间件,在app\Http\Middleware 目录下新增 ApiCheckLogin。8.打开config/auth.php文件,在providers、guards数组新增api数组。7.打开app\Models\User文件,设字段情况更改成以下代码。17.打开routes/api.php文件,添加路由。6.在.env文件新增jwt密钥。
dify 外部知识库开发
02-27
### Dify 外部知识库开发指南 #### 支持的文档格式 在使用Dify进行外部知识库开发前,需先将企业内部资料转换成支持的格式。这些格式包括但不限于PDF、Word文档、Excel表格以及纯文本文件等[^1]。 #### 构建本地知识库系统 为了利用Dify搭建高效的本地知识库,可以采用DeepSeek这一深度学习工具为核心组件。通过结合两者的优势,不仅能够实现对企业内外海量信息的有效管理和快速检索,还能进一步提升自然语言处理能力,助力更精准的内容理解与分析[^2]。 #### 平台特性概览 Dify为一个专注于大语言模型应用开发的开源平台,特别适合希望简化AI项目实施流程的技术团队和个人开发者。该平台集成了BaaS架构特点并融入了LLMOps最佳实践,即使是没有深厚编程背景的人士也能够在短时间内掌握其基本操方法。更重要的是,Dify允许接入多样化的数据源,如上传至服务器上的静态资源或是抓取自互联网公开页面的数据;同时提供了一套直观易用的操面板让用户便捷地维护自己的专属数据库。另外值得一提的是,针对高级用户群体的需求,官方还开放了一系列RESTful风格的标准API接口供调用,便于与其他第三方应用程序无缝对接[^3]。 #### 功能亮点展示 得益于先进的算法设计思路——检索增强生成(Retrieval-Augmented Generation),当下的许多优秀开源解决方案都能够很好地满足不同场景下对于高质量对话交互体验的要求。具体而言,在面对复杂查询请求时,这类系统会优先尝试从未知领域内寻找最接近的答案片段加以组合拼接形成最终回复内容,而不是单纯依赖预训练阶段积累下来的知识体系独立答。因此,相较于传统方式而言,这种方法往往能带来更加贴近实际需求的结果呈现效果[^4]。 #### 应用实例说明 借助于上述提到的各项关键技术支撑,现在已经有越来越多的企业开始尝试运用类似的智能化手段辅助日常办公事务处理工。比如,一些大型跨国公司将这套方案应用于员工培训材料编写过程中,既提高了工效率又保证了产出物的质量水平;还有部分金融机构将其引入风险评估机制当中,通过对过往案例的学习模仿来预测未来可能出现的风险事件发展趋势等等[^5]。 ```python import dify_sdk as sdk # 初始化客户端 client = sdk.Client(api_key='your_api_key') # 创建新的知识条目 entry_id = client.create_entry( title="Example Entry", content="This is an example entry created using the Python SDK." ) print(f"Created new entry with ID {entry_id}") ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值