Laravel 5.4 OAuth与Dingo内部请求

时间:2017-11-20 00:01:44

标签: php laravel laravel-5 oauth dingo-api

我正在使用带有Dingo API的Laravel 5.4,我正在尝试使用Laravel的OAuth 2.0(Passport)来处理Internal Dingo请求。以前,我使用的是JWT,但现在我想使用OAuth。这是我以前的调度程序代码,它传递了所需的令牌以对内部请求执行身份验证。

public function getDispatcher()
{
    $token = JWTAuth::fromUser(Auth::user());
    return $this->api->header('Authorization','Bearer'.$token)->be(Auth::user());
}

现在我正在使用OAuth进行身份验证,我的JavaScript代码设法通过JavaScript中的passing a cookie using this method进行身份验证,这非常有效。

现在我需要修改getDispatcher()方法,以便在Dingo中的“内部请求”上获取OAuth令牌。有没有人有关于如何做到这一点的任何提示?从理论上讲,我可以为每个用户创建一个个人访问令牌,但这似乎只是内部请求的过度杀伤。任何建议或方法表示赞赏。如何在不通过完整OAuth流程的情况下获取OAuth令牌,或者如何仅为内部请求关闭身份验证。

根据以下答案进行更新:

'api.auth'自己在路线上(只是Dingo)并且内部请求有效。 auth:api(Passport)+ api.auth我得到了内部请求不允许的方法,它以JSON的形式返回。尝试调用内部POST请求时出现{“message”:“405 Method Not Allowed”}。 (当尝试POST到这些路由时,看起来像301重定向到登录页面,反过来导致API路径以某种方式变成GET,从而抛出405错误。)

通过Postman的API请求以反向容量工作。两个活动时都找不到用户(['middleware'=> ['auth:api','api.auth'])当(auth:api只是Passport)激活时它工作正常。

1 个答案:

答案 0 :(得分:5)

如果我正确地阅读了这个问题,我们似乎正在尝试同时使用两个身份验证提供程序 - Dingo和Passport。如果我误解了,请纠正我,但似乎我们实际上并不需要在这个项目中同时使用这两个。对于大多数应用程序,我们可以使用Passport执行身份验证,并将结果简单地传递给Dingo。

我们通过创建custom authentication provider来实现这一目标,该configured for Passport将Dingo与Passport执行的身份验证联系起来:

use Dingo\Api\Contract\Auth\Provider;
use Illuminate\Auth\AuthManager;
...
class PassportDingoAuthProvider implements Provider
{
    protected $guard;

    public function __construct(AuthManager $auth) 
    {
        $this->guard = $auth->guard('api');
    }

    public function authenticate(Request $request, Route $route)
    {
        if ($this->guard->check()) { 
            return $this->guard->user();
        }

        throw new UnauthorizedHttpException('Not authenticated via Passport.');
    }
}

正如我们所看到的,上面显示的Dingo auth提供程序只是挂钩到Laravel auth系统,以便在经过身份验证时转发User。构造函数中指定的'api'防护应与防护middleware group匹配(我们通常会在 config / auth.php中向'api'数组添加'guards'条目):

'guards' => [
    ...
    'api' => [
        'driver' => 'passport',
        'provider' => 'users',
    ],
],

然后,我们需要在 config / api.php 中使用Dingo注册自定义提供程序:

'auth' => 
    'passport' => App\Providers\PassportDingoAuthProvider::class
]

现在我们可以声明使用Passport身份验证中间件(auth:api)和Dingo身份验证中间件(api.auth)的受保护路由:

$api->get('endpoint', function () { ... })->middleware('auth:api', 'api.auth');

我们可以在 app / Http / Kernel.php 中创建一个a sample project,如果需要,可以将它们组合在一起:

protected $middlewareGroups = [
    ...
    'auth:api-combined' => [
        'auth:api', // Passport
        'api.auth'  // Dingo
    ]
];

当应用程序需要调用内部API时,客户端应该已经过身份验证,因为典型的Laravel应用程序在中间件堆栈中处理身份验证。如您所知,如果需要,我们可以简单地将经过身份验证的User传递给Dingo端点:

return $this->api->be(auth()->user())->get('endpoint');

...但是上面显示的auth提供程序不需要这样做。 Dingo将从Passport的auth guard中解析经过身份验证的用户。

以下CreateFreshApiToken middleware结合了这些概念。

  

现在我正在使用OAuth进行身份验证,我的Javascript代码只是通过在Javascript中使用此方法传递cookie来设法获取身份验证...我需要修改getDispatcher方法以在'内部获取OAuth令牌请求'在Dingo内。

当我们使用How do you set a custom http client in Bravado?时,Laravel会即时生成加密的JWT。我们可以手动创建其中一个令牌:

use Firebase\JWT\JWT; // installed with Passport
...
$token = JWT::encode([
    'sub' => auth()->id(),
    'csrf' => session()->token(),
    'expiry' => Carbon::now()->addMinutes(config('session.lifetime')),
], app('encrypter')->getKey());

我们可以看到这不是标准的OAuth访问令牌 - Passport仅将这些用于Web请求。或者,我们可以从JavaScript传回的cookie中获取此值:

$token = request()->cookie(Passport::cookie());

但是,如果我们将Dingo与Passport集成在一起,我们就不需要这个令牌。

相关问题
最新问题