Laravel Sanctum protège le routage des API via un simple mécanisme de jeton, adapté aux spas, aux applications mobiles et à d'autres scénarios. L'installation nécessite que le compositeur exige Laravel / Sanctum et exécuter la commande de migration après avoir publié le fichier de migration; Le modèle utilisateur ajoute la fonctionnalité Hasapitokens pour prendre en charge la gestion des jetons. Les routes d'authentification sont protégées à l'aide de AUTH: Sanctum Middleware, définie par défaut dans Routes / API.PHP, et s'assurez que la demande contient l'en-tête Accept: Application / JSON. Générez des jetons pour vérifier les informations d'identification de l'utilisateur en créant un point de terminaison de connexion et en appelant la méthode CreateToken pour renvoyer PlainTextToken; Le client stocke le jeton et transporte l'autorisation: Bearer dans l'en-tête de demande. Appeler CurrentAccessToken () -> Delete () lors de la connexion invalide le jeton actuel. Les demandes de domaine croisé nécessitent config / cors.php pour permettre aux sources, des informations d'identification et des informations d'en-tête nécessaires; Si vous êtes utilisé dans SPA, vous devez également permettre des middlewares d'assurance au milieu de la variété et de gérer les problèmes homologues ou CSRF.

Lorsque vous construisez des API RESTful avec l'authentification Laravel Sanctum, l'idée principale est de sécuriser vos itinéraires API tout en gardant les choses simples et token. Sanctum vous donne un moyen léger de gérer l'authentification pour les spas (applications à page unique), les applications mobiles ou même les services tiers sans avoir besoin de serveurs OAuth ou de configurations complexes.

Installation de Laravel Sanctum

Avant de plonger dans les routes API, assurez-vous que Sanctum est installé et configuré correctement. Commencez par l'installer via le compositeur:

 Le compositeur a besoin de Laravel / Sanctum

Publiez ensuite les fichiers de configuration et de migration:

 PHP Artisan Vendor: Publish --provider = "Laravel \ Sanctum \ SanctumServiceProvider"

Exécutez les migrations:

 PHP Artisan Migrate

Vous devez également ajouter le trait HasApiTokens à votre modèle d'utilisateur:

 Utilisez Laravel \ Sanctum \ Hasapitokens;

L'utilisateur de classe s'étend authentitable
{
    Utilisez des Hasapitokens, notifiables;
}

Cela permet aux utilisateurs de générer et de gérer les jetons API.

Création de routes API authentifiées

Dans Laravel, Sanctum protège les itinéraires à l'aide de middleware. Vous pouvez appliquer le middleware auth:sanctum à toute voie que vous souhaitez sécuriser.

Par exemple, dans votre fichier routes/api.php :

 Route :: Middleware ('Auth: Sanctum') -> get ('/ user', fonction (demande $ demande) {
    return $ request-> user ();
});

Assurez-vous que vos itinéraires sont définis dans api.php car Sanctum s'attend à ce que les demandes passent par défaut par défaut du préfixe /api sauf si vous le personnalisez.

N'oubliez pas non plus d'inclure l'en-tête Accept: application/json dans vos demandes - sinon, Sanctum pourrait ne pas répondre comme prévu.

Générer et gérer les jetons API

Pour permettre aux utilisateurs de s'authentifier et d'obtenir un jeton d'accès, créez un point de terminaison de connexion qui émet des jetons. Voici un flux de base:

1. Acceptez les e-mails et le mot de passe de l'utilisateur.
2. Authentifier les informations d'identification.
3. Créez un jeton et renvoyez-le.

Voici une méthode de contr?leur simple:

 Connexion de la fonction publique (demande $ demande)
{
    $ indentings = $ request-> valider ([
        'email' => 'requis | e-mail',
        'mot de passe' => 'requis',
    ]));

    if (auth :: tentating ($ indentings)) {
        $ user = auth :: user ();
        $ token = $ user-> createToken ('auth_token') -> PlainTextToken;

        return réponse () -> JSON (['access_token' => $ token]);
    }

    return réponse () -> json (['error' => 'non autorisé'], 401);
}

C?té client, stockez ce jeton en toute sécurité et envoyez-le dans l'en-tête Authorization comme tel:

 Autorisation: porteur <votre token-here>

Gardez à l'esprit:

• Les jetons sont stockés dans la base de données sous la table personal_access_tokens .
• Vous pouvez élaborer des jetons si nécessaire, bien que Sanctum ne prenne pas en charge les lunettes de la bo?te, sauf si vous créez une logique personnalisée.
• Invalider toujours les jetons sur la déconnexion:

 $ user-> currentAccessToken () -> Delete ();

Traiter les CORS et l'authentification du spa

Si vous créez une application à une seule page qui communique avec votre backend Laravel, vous voudrez configurer les en-têtes CORS appropriés. Laravel a un fichier de configuration intégré sur config/cors.php .

Assurez-vous d'autoriser:

• Les origines correctes
• Identials (set supports_credentials sur true )
• En-têtes appropriés comme Authorization , Content-Type , etc.

Sanctum prend également en charge l'authentification de session basée sur les cookies pour les spas, mais cela nécessite une configuration supplémentaire:

• Utilisez le middleware EnsureFrontendRequestsAreStateful
• Assurez-vous que votre frontend et votre backend partagent le même domaine (ou que votre gestion CORS CORS est appropriée)

Cette partie peut être délicate, surtout lorsqu'il s'agit de cookies inter-domaines et de protection du CSRF, alors vérifiez la documentation de Laravel pour les dernières conseils.

C'est essentiellement la fa?on dont vous créez des API RESTful avec l'authentification Laravel Sanctum. Il est simple une fois que vous comprenez le flux, mais facile à trébucher sur de petits détails comme les en-têtes, le placement du middleware ou les paramètres COR.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!