本教程将指导您如何在laravel应用中验证来自外部身份提供商的rs256签名jwt。我们将利用tymondesigns/jwt-auth包,通过配置jwks获取的公钥、实现自定义认证守卫(guard)来处理令牌解析与签名验证,并将其无缝集成到laravel的认证体系中,从而确保api请求的安全性。
在现代微服务架构和单页应用(SPA)中,使用外部身份提供商(IdP)进行用户认证已成为常见模式。用户通过IdP认证后会获得一个Access Token(通常是JWT),后端API服务需要验证这个JWT以授权访问。本教程将详细介绍如何在Laravel应用中,利用tymondesigns/jwt-auth包以及自定义认证守卫,高效且安全地验证来自第三方IdP的RS256签名的JWT。
1. 获取并配置JWT公钥
验证RS256签名的JWT需要对应的公钥。外部身份提供商通常会通过一个JWKS(JSON Web Key Set)URL(例如 https://{domain}/.well-known/jwks.json)公开其公钥。您需要从这个JWKS URL获取相应的公钥,并将其保存为PEM格式的文件。
步骤:
从JWKS URL获取公钥: 访问您的IdP提供的JWKS URL。通常,JWKS是一个JSON数组,包含一个或多个JSON Web Key (JWK) 对象。您需要根据JWT头部的kid(Key ID)或其他标识符找到匹配的公钥。将JWK中的n(modulus)和e(exponent)字段转换为PEM格式的RSA公钥。市面上有一些工具或库可以帮助您完成这个转换,例如PHP的phpseclib或在线JWK转PEM工具。
保存公钥文件: 将转换后的PEM格式公钥保存到Laravel项目的安全位置,例如 storage/jwt/public.pem。
配置tymondesigns/jwt-auth: 修改config/jwt.php配置文件,指定公钥文件的路径和签名算法。
// config/jwt.phpreturn [ // ... 'keys' => [ 'public' => 'file://' . storage_path('jwt/public.pem'), 'private' => null, // 如果只验证,不需要私钥 'passphrase' => null, ], 'algo' => 'RS256', // 确保与您的IdP使用的算法一致 // ...];
请确保storage/jwt目录存在且可读。
2. 实现自定义JWT认证守卫 (Guard)
Laravel的认证系统允许您定义自定义的认证守卫。我们将创建一个JWTGuard来封装JWT的验证逻辑,包括解析令牌、检查签名和提取用户信息。
创建守卫文件:在app/Guard目录下创建JWTGuard.php文件(如果目录不存在,请先创建)。
jwt = $jwt; $this->request = $request; } /** * 获取当前认证用户。 * * @return IlluminateContractsAuthAuthenticatable|null */ public function user() { if (!is_null($this->user)) { return $this->user; } // 尝试从请求中获取JWT,并检查其有效性 if ($this->jwt->setRequest($this->request)->getToken() && $this->jwt->check()) { // 从JWT payload中获取用户标识(通常是'sub' claim) $id = $this->jwt->payload()->get('sub'); // 根据IdP返回的用户信息创建或查找本地用户实例 // 这里我们创建一个简单的User实例,您可以根据需要从数据库查找或设置更多自定义属性 $this->user = new User(); $this->user->id = $id; // 如果需要,可以从JWT payload中提取更多自定义声明并设置到用户模型 // $this->user->email = $this->jwt->payload()->get('email'); return $this->user; } return null; } /** * 验证用户凭据(在本场景中不使用,因为我们通过JWT验证)。 * * @param array $credentials * @return bool */ public function validate(array $credentials = []) { // 对于JWT验证,此方法通常留空或返回false return false; }}
自定义用户模型:为了让JWTGuard能够返回一个Authenticatable的用户实例,您可能需要创建一个简单的User模型,或者确保您现有的User模型实现了IlluminateContractsAuthAuthenticatable接口。
id; } /** * Get the password for the user. * * @return string */ public function getAuthPassword() { return ''; // 对于JWT认证,密码通常不直接存储或使用 } /** * Get the "remember me" token value. * * @return string */ public function getRememberToken() { return null; // 对于无状态JWT认证,不需要remember token } /** * Set the "remember me" token value. * * @param string $value * @return void */ public function setRememberToken($value) { // } /** * Get the column name for the "remember me" token. * * @return string */ public function getRememberTokenName() { return ''; }}
3. 注册并激活自定义守卫
完成JWTGuard的创建后,需要将其注册到Laravel的认证系统中,并在config/auth.php中配置使用。
在AuthServiceProvider中注册:修改app/Providers/AuthServiceProvider.php的boot方法。
'AppPoliciesModelPolicy', ]; /** * Register any authentication / authorization services. * * @return void */ public function boot() { $this->registerPolicies(); // 扩展Laravel的认证系统,注册自定义的'jwt-auth'守卫 $this->app['auth']->extend( 'jwt-auth', // 守卫的驱动名称 function ($app, $name, array $config) { $guard = new JWTGuard( $app['tymon.jwt'], // 获取tymon.jwt实例 $app['request'] // 获取当前请求实例 ); // 确保每次请求时,守卫都能获取到最新的请求实例 $app->refresh('request', $guard, 'setRequest'); return $guard; } ); }}
在config/auth.php中配置:将新的jwt守卫添加到guards配置项中。
[ 'guard' => 'web', // 默认守卫,可以根据需要调整 'passwords' => 'users', ], 'guards' => [ 'web' => [ 'driver' => 'session', 'provider' => 'users', ], // ... 其他守卫 'jwt' => [ // 定义您的JWT守卫 'driver' => 'jwt-auth', // 对应AuthServiceProvider中extend的驱动名称 'provider' => 'users' // 可以是任何有效的provider,这里我们使用默认的users ], ], 'providers' => [ 'users' => [ 'driver' => 'eloquent', 'model' => AppModelsUser::class, ], // ... ], // ...];
4. 在路由中使用认证守卫
现在,您可以通过Laravel的路由中间件来保护您的API端点,确保只有携带有效JWT的请求才能访问。
get('/user', function () { // 只有携带有效JWT并成功通过'jwt'守卫认证的请求才能到达这里 return Auth::user(); // 返回当前认证用户实例});// 您也可以在控制器构造函数中使用// public function __construct()// {// $this->middleware('auth:jwt');// }
当请求到达/user路由时,auth:jwt中间件会激活JWTGuard。如果请求头中包含有效的Bearer Token,JWTGuard将对其进行解析、签名验证,并根据sub声明设置认证用户。
5. 扩展与注意事项
声明和范围验证: JWTGuard中的$this->jwt->check()会验证JWT的格式、签名和基本的标准声明(如过期时间exp)。如果需要验证更具体的声明(如iss、aud、nbf)或自定义的应用程序权限(scopes),您可以在JWTGuard的user()方法中,在$this->jwt->check()之后,通过$this->jwt->payload()获取所有声明,然后添加额外的逻辑进行验证。对于Scopes,通常会创建一个独立的中间件来处理。错误处理: 当前的实现在JWT验证失败时会返回null用户,导致Laravel抛出未经认证的HTTP响应(401 Unauthorized)。您可以根据需要捕获tymon/jwt-auth抛出的异常(例如TokenExpiredException, TokenInvalidException等),并返回更详细的错误信息。公钥管理: 如果您的IdP会定期轮换JWKS中的公钥,您需要建立一个机制来自动或手动更新storage/jwt/public.pem文件。例如,可以编写一个Artisan命令,定期从JWKS URL获取最新的公钥并更新本地文件。性能考量: 每次请求都从磁盘读取公钥文件可能会有轻微的性能开销。在生产环境中,可以考虑将公钥内容缓存到内存或OPcache中,以减少文件I/O。
通过以上步骤,您已经成功地在Laravel应用中构建了一个健壮的机制,用于验证来自外部身份提供商的RS256签名的JWT。这不仅增强了API的安全性,也使其能够与复杂的身份认证生态系统无缝集成。
以上就是在Laravel中验证第三方JWT(RS256 & JWKS)的教程的详细内容,更多请关注php中文网其它相关文章!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/1341200.html
微信扫一扫 
支付宝扫一扫 
