如何使用带有密码授予令牌的Laravel Passport?

时间:2018-06-14 02:44:49

标签: php laravel oauth laravel-passport

我刚刚阅读了https://laravel.com/docs/5.6/passport文档,我有些疑惑希望有人可以帮助我:

首先,在某些情况下,我想使用Passport作为为我的移动应用程序(第一方应用程序)提供Oauth身份验证的方法。

  1. 当我使用php artisan passport:client --password时,我会收到客户端ID和客户端密钥。这个值是否必须在我的应用上修复?例如,将它们存储为硬编码或“设置”文件?如果不应存储这些值,那么它应该如何工作?

  2. 要将用户注册到我的应用,我使用:$user->createToken('The-App')->accessToken;我得到的是accessToken将用于发送我的所有请求作为标题(Authorization => Bearer $ accessToken)但是究竟什么是“The-App”值?

  3. 要登录我正在使用网址的用户:http://example.com/oauth/token并作为参数发送:

    {     “username”:“user@email.com”,     “password”:“userpassword”,     “grant_type”:“密码”,     “client_id”:1,//我从命令中获得的客户端ID(问题1)     “client_secret”:“嘘”//我从命令中得到的客户端秘密(问题1) }

  4. 当我使用前一个端点登录用户时,我回到了refresh_token,我读到我可以通过http://example.com/oauth/token/refresh刷新令牌,但我尝试请求刷新我得到了错误419,我删除了来自csrf验证的url oauth / token / refresh现在我回来"message": "Unauthenticated.",我正在提出以下请求:

    内容类型:x-www-form-urlencoded grant_type:refresh_token refresh_token:-refresh-token //我从命令中获取的刷新令牌(问题3) client_id:1 //我从命令获得的客户端ID(问题1) client_secret:嘘//我从命令得到的客户端秘密(问题1) 范围:''

  5. 我应该使用此端点吗?鉴于我正在努力开发的应用程序,或者没有必要。

    1. 最后,我从护照中获得了很多端点,我认为我不会使用这些端点:oauth/clients*oauth/personal-access-tokens*有没有办法将它们从已发布的端点中删除通过护照?
    2. 非常感谢你的帮助!

2 个答案:

答案 0 :(得分:23)

如果您正在使用自己的api,那么您就不需要致电http://example.com/oauth/token 用户登录,因为那时你需要在app端存储client_id和client_secret。最好为登录创建一个api,在那里你可以检查凭据并生成个人令牌。

public function login(Request $request)
{
        $credentials = $request->only('email', 'password');

        if (Auth::attempt($credentials)) {
            // Authentication passed...
             $user = Auth::user();
             $token = $user->createToken('Token Name')->accessToken;

            return response()->json($token);
        }
}
  

最后,我从护照中得到了许多终点   不要以为我会用例如:oauth / clients *,   oauth / personal-access-tokens *有没有办法将它们从中删除   护照公布的终点?

您需要从AuthServiceProvider中删除Passport::routes();并手动只放置所需的护照路由。我认为你只需要oauth/token路线。

  

究竟是什么" The-App"价值为?

如果您检查 oauth_access_tokens 表,则会显示名称字段。 $user->createToken('Token Name')->accessToken;此处"令牌名称" 存储在名称字段中。

  

如何使用带有密码授予令牌的Laravel Passport?

要生成密码授予令牌,您必须在应用端存储client_idclient_secret(不推荐,请检查this)并假设您是否必须重置client_secret然后旧版本的应用程序停止工作,这些是问题。要生成密码授予令牌,您必须像在步骤3中提到的那样调用此API。

$http = new GuzzleHttp\Client;

$response = $http->post('http://your-app.com/oauth/token', [
    'form_params' => [
        'grant_type' => 'password',
        'client_id' => 'client-id',
        'client_secret' => 'client-secret',
        'username' => 'taylor@laravel.com',
        'password' => 'my-password',
        'scope' => '',
    ],
]);

return json_decode((string) $response->getBody(), true);
  

refresh_token

生成令牌
$http = new GuzzleHttp\Client;

$response = $http->post('http://your-app.com/oauth/token', [
    'form_params' => [
        'grant_type' => 'refresh_token',
        'refresh_token' => 'the-refresh-token',
        'client_id' => 'client-id',
        'client_secret' => 'client-secret',
        'scope' => '',
    ],
]);

return json_decode((string) $response->getBody(), true);

您也可以查看此https://laravel.com/docs/5.6/passport#implicit-grant-tokens

答案 1 :(得分:0)

解决问题5

  

最后,我从护照中获得了很多端点,例如,我认为我不会使用它们:oauth/clients*oauth/personal-access-tokens*可以将它们从发布的端点中删除通过护照吗?


Passport::routes($callback = null, array $options = [])具有可选的$callback函数和可选的$options参数。

回调函数带有一个$router参数,然后您可以从中选择要安装的路由,如下所示,在AuthServiceProvider.php中启用了更精细的配置:

Passport::routes(function ($router) {
    $router->forAccessTokens();
    $router->forPersonalAccessTokens();
    $router->forTransientTokens();
});

Passport::tokensExpireIn(Carbon::now()->addMinutes(10));

Passport::refreshTokensExpireIn(Carbon::now()->addDays(10));

这样,我们仅创建所需的护照路线。

forAccessTokens();使我们能够创建访问令牌。
forPersonalAccessTokens();使我们能够创建个人令牌,尽管我们将不在本文中使用它。最后, forTransientTokens();创建用于刷新令牌的路由。

如果运行php artisan route:list,则可以看到Laravel Passport安装的新端点。

| POST | oauth/token         | \Laravel\Passport\Http\Controllers\AccessTokenController@issueToken
| POST | oauth/token/refresh | \Laravel\Passport\Http\Controllers\TransientTokenController@refresh