首页>PHP源码>其他类别
下载

带有API平台的简单JWT auth

介绍

如标题所述,我们将使用API​​平台和LexikjwtauthenticationBundle共同创建如此简单的JWT身份验证。当然使用我们可爱的学说用户提供商。

动机

关于与JWT的Symfony的在线教程太多,有关API平台的教程。但是,他们中的大多数人确实没有帮助,或者它们很短,我发现其中大多数都缺少很多东西。他们甚至不说您需要首先知道一些概念,最后您发现如此多的令人困惑的开发人员。

或者他们只是提到API平台名称,您输入了,这主要是关于Symfony的。老实说,这是有道理的,因为API平台社区太小了,而且实际上是基于Symfony,因此Symfony社区已经问并解决了大多数问题,因此我们很幸运,它是如此大的社区:)。

我希望这将是不同的,如果您有任何疑问或更新,将不胜感激。同样,任何问题都会尝试回答所有问题。

要求

  • php> = 7.0知识
  • 符号知识(自动释放,依赖注射)
  • Docker知识
  • REST API知识
  • PostgreSQL知识
  • Ubuntu或MacOS(对Windows用户很抱歉:)

API平台安装

我安装它的最佳方法是使用git存储库,或从github下载API平台作为.zip文件。 

$ git clone https://github.com/api-platform/api-platform.git apiplatform-user-auth

$ cd apiplatform-user-auth
确保所需端口上的任何内容:

现在,首先,整个API平台都在特定端口上运行,因此您需要确保此端口是免费的,并且什么也没有听。

  • 我怎么知道这个端口?
    • 您可以在项目根目录中的docker-compose.yml文件中找到它们,并且它们总是像[80、81、8080、8081、3000、5432、1337、8443、8443、8444、443、444]]
  • 怎么知道?
    • 运行此命令
      $ sudo lsof -nP | grep LISTEN
  • 该怎么知道?
    • 杀死在上述任何端口上聆听的任何过程。 
      $ sudo kill -9 $PROCESS_NUMBER
安装:
  • 拉动所需的包裹和所有所需的包裹。 
docker-compose pull
  • 将应用程序启动并运行。 
docker-compose up -d
  • 您可能会在这里遇到一些问题,所以将所有容器放下并再次运行命令
  $ docker-compose down
  $ COMPOSE_HTTP_TIMEOUT=120 docker-compose up -d
  • 现在,应用程序应该运行,所有内容都到位: 
docker ps

CONTAINER ID        IMAGE                            COMMAND                  CREATED              STATUS              PORTS                                                                    NAMES
6389d8efb6a0        apiplatform-user-auth_h2-proxy   " nginx -g 'daemon of… "   About a minute ago   Up About a minute   0.0.0.0:443-444- > 443-444/tcp, 80/tcp, 0.0.0.0:8443-8444- > 8443-8444/tcp   apiplatform-user-auth_h2-proxy_1_a012bc894b6c
a12ff2759ca4        quay.io/api-platform/varnish     " docker-varnish-entr… "   2 minutes ago        Up 2 minutes        0.0.0.0:8081- > 80/tcp                                                     apiplatform-user-auth_cache-proxy_1_32d747ba8877
6c1d29d1cbdd        quay.io/api-platform/nginx       " nginx -g 'daemon of… "   2 minutes ago        Up 2 minutes        0.0.0.0:8080- > 80/tcp                                                     apiplatform-user-auth_api_1_725cd9549081
62f69838dacb        quay.io/api-platform/php         " docker-entrypoint p… "   2 minutes ago        Up 2 minutes        9000/tcp                                                                 apiplatform-user-auth_php_1_cf09d32c3120
381384222af5        dunglas/mercure                  " ./mercure "              2 minutes ago        Up 2 minutes        443/tcp, 0.0.0.0:1337- > 80/tcp                                            apiplatform-user-auth_mercure_1_54363c253a34
783565efb2eb        postgres:10-alpine               " docker-entrypoint.s… "   2 minutes ago        Up 2 minutes        0.0.0.0:5432- > 5432/tcp                                                   apiplatform-user-auth_db_1_8da243ca2865
1bc8e386bf02        quay.io/api-platform/client      " /bin/sh -c 'yarn st… "   2 minutes ago        Up About a minute   0.0.0.0:80- > 3000/tcp                                                     apiplatform-user-auth_client_1_1c413b4e4a5e
c22bef7a0b3f        quay.io/api-platform/admin       " /bin/sh -c 'yarn st… "   2 minutes ago        Up About a minute   0.0.0.0:81- > 3000/tcp                                                     apiplatform-user-auth_admin_1_cfecc5c6b442
  • 现在,如果您转到Localhost:8080,您将看到他们列出了一些简单的API,这是该项目附带的示例实体。

基于学说用户提供商创建用户实体

  • 安装学说制造商包,以帮助我们快速:) 
$ docker-compose exec php composer require doctrine maker
  • 创建我们的用户实体
$ docker-compose exec php bin/console make:user

 The name of the security user class (e.g. User) [User]:
 > Users

 Do you want to store user data in the database (via Doctrine) ? (yes/no) [yes]:
 >

 Enter a property name that will be the unique " display " name for the user (e.g. email, username, uuid) [email]:
 > email

 Will this app need to hash/check user passwords ? Choose No if passwords are not needed or will be checked/hashed by some other system (e.g. a single sign-on server).

 Does this app need to hash/check user passwords ? (yes/no) [yes]:
 >

The newer Argon2i password hasher requires PHP 7.2, libsodium or paragonie/sodium_compat. Your system DOES support this algorithm.
You should use Argon2i unless your production system will not support it.

 Use Argon2i as your password hasher (bcrypt will be used otherwise) ? (yes/no) [yes]:
 >

 created: src/Entity/Users.php
 created: src/Repository/UsersRepository.php
 updated: src/Entity/Users.php
 updated: config/packages/security.yaml


  Success !


 Next Steps:
   - Review your new App E ntity U sers class.
   - Use make:entity to add more fields to your Users entity and then run make:migration.
   - Create a way to authenticate ! See https://symfony.com/doc/current/security.html
  • 如果您现在转到“ API/SRC/Entity”,您将在那里找到您的实体。如果您向getemail&getPassword函数稍微滚动一点,您将看到类似的东西,这意味着这两个属性将用作身份验证中的用户标识符。 (在此示例中不会使用角色,因为它是如此简单) 
 # api/src/Entity/Users.php

/**
* @see UserInterface
*/
  • 如您所知,使用自动功能的最新版本的Symfony版本,因此您可以看到该实体已经被接线并注入了称为“ API/SRC/src/repository/usersorporitory”的teh存储库。 
 # api/src/Entity/Users.php

/**
 * @ORMEntity(repositoryClass="AppRepositoryUsersRepository")
 */
class Users implements UserInterface
{
    ...
}

  • 您可以在此存储库中清楚地看到一些预先实现的功能,例如FindbyId(),但现在让我们创建另一个功能,可以帮助我们创建新用户。

    • 要将用户添加到数据库中,需要按以下方式定义实体管理器: 
     # api/src/Repository/UsersRepository.php
class UsersRepository extends ServiceEntityRepository
{
  /** EntityManager $manager */
  private $ manager ;
. . . .
}

    并在构造函数中初始化以下内容: 

     # api/src/Repository/UsersRepository.php

/**
* UsersRepository constructor.
* @param RegistryInterface $registry
*/
public function __construct ( RegistryInterface $ registry )
{
  parent :: __construct ( $ registry , Users::class);

  $ this -> manager = $ registry -> getEntityManager ();
}
    • 现在,让我们像以下内容一样创建我们的功能: 
     # api/src/Repository/UsersRepository.php

/**
 * Create a new user
 * @param $data
 * @return Users
 * @throws DoctrineORMORMException
 * @throws DoctrineORMOptimisticLockException
*/
public function createNewUser ( $ data )
{
    $ user = new Users ();
    $ user -> setEmail ( $ data [ ' email ' ])
        -> setPassword ( $ data [ ' password ' ]);

    $ this -> manager -> persist ( $ user );
    $ this -> manager -> flush ();

    return $ user ;
}
  • 让我们创建控制器以消耗该存储库,将其称为“ authcontroller”。 
$ docker-compose exec php bin/console make:controller

 Choose a name for your controller class (e.g. TinyJellybeanController):
 > AuthController

 created: src/Controller/AuthController.php
 created: templates/auth/index.html.twig


  Success !


 Next: Open your new controller class and add some pages !
  • 现在,让我们消耗此createNewuser函数。如果您看到您的控制器,您会发现它仅包含索引函数,但是我们需要创建另一个功能,将其称为“寄存器”。
    • 我们需要用户权利权,因此首先创建它是对象。 
     # api/src/Controller/AuthController.php

use App  Repository  UsersRepository ;

class AuthController extends AbstractController
{
    /** @var UsersRepository $userRepository */
    private $ usersRepository ;

    /**
     * AuthController Constructor
     *
     * @param UsersRepository $usersRepository
     */
    public function __construct ( UsersRepository $ usersRepository )
    {
        $ this -> usersRepository = $ usersRepository ;
    }
    . . . . . . .
}
    • 现在,我们需要使该控制器了解用户存储库,因此我们将其注入服务。 
     # api/config/services.yaml

services :
    ......
  # Repositories
  app.user.repository :
      class : AppRepositoryUsersRepository
      arguments :
          - SymfonyBridgeDoctrineRegistryInterface
  
  # Controllers
  app.auth.controller :
      class : AppControllerAuthController
      arguments :
          - ' @app.user.repository '
    • 现在,是时候实施我们的新端点来注册一个新帐户了。 
     # api/src/Controller/AuthController.php

# Import those
use Symfony  Component  HttpFoundation  Request ;
use Symfony  Component  HttpFoundation  Response ;

# Then add this to the class
/**
 * Register new user
 * @param Request $request
 *
 * @return Response
 */
public function register ( Request $ request )
{
    $ newUserData [ ' email ' ]    = $ request -> get ( ' email ' );
    $ newUserData [ ' password ' ] = $ request -> get ( ' password ' );

    $ user = $ this -> usersRepository -> createNewUser ( $ newUserData );

    return new Response ( sprintf ( ' User %s successfully created ' , $ user -> getUsername ()));
}
    • 现在,我们需要让框架通过将其添加到我们的路由文件中来了解此新端点
     # src/config/routes.yaml

# Register api
register :
    path : /register
    controller : AppControllerAuthController::register
    methods : ['POST']

测试这个新的API:

  • 首先进行迁移并更新数据库: 
$ docker-compose exec php bin/console make:migration

$ docker-compose exec php bin/console doctrine:migrations:migrate

  WARNING ! You are about to execute a database migration that could result in schema changes and data loss. Are you sure you wish to continue ? (y/n) y
  • 现在,来自您使用的邮递员或任何其他客户。在这里使用卷发
$ curl -X POST -H " Content-Type: application/json " " http://localhost:8080/[email protected]&password=test1 "
User [email protected] successfully created
  • 您想在DB中查看此数据: 
$ docker-compose exec db psql -U api-platform api
psql (10.8)
Type " help " for help.

$ api= # select * from users;
 id |     email      | roles | password
----+----------------+-------+----------
  6 | [email protected] | []    | test1
(1 row)
  • 哦,WOOW密码没有加密我们该怎么办!!!
    • 因此,正如我在该项目建立在Symfony之前所说的那样,这就是为什么我说您需要了解Symfony的原因。因此将使用密码编码类。 
     # api/src/Repository/UsersRepository.php

use Symfony  Component  Security  Core  Encoder  UserPasswordEncoderInterface ;

class UsersRepository extends ServiceEntityRepository
{
    .......

  /** UserPasswordEncoderInterface $encoder */
  private $ encoder ;
    
  /**
   * UserRepository constructor.
   * @param RegistryInterface $registry
   * @param UserPasswordEncoderInterface $encoder
   */
  public function __construct ( RegistryInterface $ registry , UserPasswordEncoderInterface $ encoder )
  {
      parent :: __construct ( $ registry , Users::class);

      $ this -> manager = $ registry -> getEntityManager ();
      $ this -> encoder = $ encoder ;
  }
}
    • 一如既往,我们需要将其注入存储库: 
     # api/config/services.yaml

services :
  .......
  # Repositories
  app.user.repository :
      class : AppRepositoryUsersRepository
      arguments :
          - SymfonyBridgeDoctrineRegistryInterface
          - SymfonyComponentSecurityCoreEncoderUserPasswordEncoderInterface
    • 更新创建用户功能: 
     # api/src/Repository/UsersRepository.php

public function createNewUser ( $ data )
{
    $ user = new Users ();
    $ user -> setEmail ( $ data [ ' email ' ])
        -> setPassword ( $ this -> encoder -> encodePassword ( $ user , $ data [ ' password ' ]));
    . . . . . . .
}
    • 现在,再次尝试注册电话,当我们将电子邮件定义为唯一时,请带有不同的电子邮件rembmer: 
    $ curl -X POST -H " Content-Type: application/json " " http://localhost:8080/[email protected]&password=test2 "
User [email protected] successfully created
    • 立即检查: 
    $ api= # select * from users;
 id |     email      | roles |                                            password
----+----------------+-------+-------------------------------------------------------------------------------------------------
  6 | [email protected] | []    | test1
  7 | [email protected] | []    | $argon2i$v =19 $m =1024,t=2,p=2 $VW9tYXEzZHp5U0RMSE5ydA$bo +V1X6rgYZ4ebN/bs1cpz+sf+DQdx3Duu3hvFUII8M
(2 rows)

安装LexikjwtauthenticationBundle

  • 安装捆绑包并生成秘密: 
$ docker-compose exec php composer require jwt-auth

创建我们的身份验证

  • (附加)如果您现在尝试此通话,请在任何事情之前都得到此结果: 
$ curl -X GET -H " Content-Type: application/json " " http://localhost:8080/greetings "
{
    " @context " : " /contexts/Greeting " ,
    " @id " : " /greetings " ,
    " @type " : " hydra:Collection " ,
    " hydra:member " : [],
    " hydra:totalItems " : 0
}
  • 让我们现在继续前进,创建一个新的和简单的端点,以至于我们现在在测试中使用它,将其称为“/api” 
 # api/src/Controller/AuthController.php

/**
* api route redirects
* @return Response
*/
public function api ()
{
    return new Response ( sprintf ( " Logged in as %s " , $ this -> getUser ()-> getUsername ()));
}
  • 将其添加到我们的路线中
 # api/config/routes.yaml

api :
    path : /api
    controller : AppControllerAuthController::api
    methods : ['POST']

  • 现在,我们需要在我们的安全配置文件中进行一些配置:

    • 首先,我们的提供商对我们的身份验证或与应用程序中用户相关的任何内容。它已经是预定义的,如果您想更改它,则可以更改用户提供商,您可以在这里进行。 
     # api/config/packages/security.yaml

app_user_provider :
    entity :
        class : AppEntityUsers
        property : email
    • 让我们为我们的“/注册” API制作一些配置,因为我们希望此API公开为任何人公开: 
     # api/config/packages/security

register :
    pattern :  ^/register
    stateless : true
    anonymous : true
    • 现在,让我们假设我们需要API-PTORFORM生成的所有内容,即可没有JWT令牌,这意味着没有身份验证的用户,API不应返回任何内容。因此,将更新“主要”零件配置为这样: 
     # api/config/packages/security.yaml

main :
    anonymous : false
    stateless : true
    provider : app_user_provider
    json_login :
        check_path : /login
        username_path : email
        password_path : password
        success_handler : lexik_jwt_authentication.handler.authentication_success
        failure_handler : lexik_jwt_authentication.handler.authentication_failure
    guard :
        authenticators :
            - lexik_jwt_authentication.jwt_token_authenticator
    • 另外,为我们的简单端点 /API添加一些配置。 
     # api/config/packages/security.yaml

api :
    pattern : ^/api
    stateless : true
    anonymous : false
    provider : app_user_provider
    guard :
        authenticators :
            - lexik_jwt_authentication.jwt_token_authenticator

    • 正如您在上面的配置中看到的那样,我们将匿名设置为false ,我们不希望任何人现在访问这两个API,也告诉您为您服务的框架是我们以前定义的用户提供商,最后我们告诉它您将使用哪个身份验证器和身份验证Success/Faliure Messages。

    • 现在,如果您尝试了电话,我们在 /问候API的附加部分中尝试了它

    $ curl -X GET -H " Content-Type: application/json " " http://localhost:8080/greetings "
  {
      " code " : 401,
      " message " : " JWT Token not found "
  }
    • 与我们创建的简单端点 /API相同: 
    $ curl -X POST -H " Content-Type: application/json " " http://localhost:8080/api " 
  {
    " code " : 401,
    " message " : " JWT Token not found "
  }
    • 如您所见,它要求您登录:D,没有指定的JWT令牌,因此我们将创建一个非常简单的API,Lexik JWT使用来验证用户并生成其令牌,请记住,登录检查路径应与安全文件中的JSON_LOGIN下的Check_path相同。 
     # api/config/packages/security.yaml
... .
json_login :
        check_path : /login

# api/config/routes.yaml

# Login check to log the user and generate JWT token
api_login_check :
      path : /login
      methods : ['POST']
    • 现在,让我们尝试一下,看看它是否会为我们产生令牌或什么! 
    $ curl -X POST -H " Content-Type: application/json " http://localhost:8080/login -d ' {"email":"[email protected]","password":"test2"} '
  { " token " : " eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiJ9.eyJpYXQiOjE1NTg2OTg4MTIsImV4cCI6MTU1ODcwMjQxMiwicm9sZXMiOlsiUk9MRV9VU0VSIl0sInVzZXJuYW1lIjoidGVzdDJAbWFpbC5jb20ifQ.nzd5FVhcyrfjYyN8jRgYFp3VOB2QytnPPRGNyp4ZtfLx6IRwg0TWZJPu5OFtOKPkdLO8DQAr_4Fpq_G6oPjzoxmGOASNuRoQonik9FCCq6oAIW3k5utzQecXDVE_ImnfgByc6WYW6a-aWLnsq1qtvxy274ojqdR0rWLePwSWX5K5-t08zDBgavO_87dVpYd0DLwhHIS7F10lNscET7bfWS-ioPDTv-G74OvkcpbcjgwHhXlO7TYubnrES-FsvAw7kezQe4BPxdbXr1w-XBZuqTNEU4MyrBuadSLgjoe_gievNBtkVhKErIkEQZVjeJIQ4xaKaxwmPxZcP9jYkE47myRdbMsL9XHSd0XmGq0bPuGjOJ2KLTmUb5oeuRnY-e9Q_V9BbouEGw0sjw2meo6Jot2MZyv5ZnLci_GwpRtWqmV7ZLw5jNyiLDFXR1rz70NcJh7EXqu9o4nno3oc68zokfDQvGkJJJZMtBrLCK5pKGMh0a1elIz41LRLZvpLYCrOZ2f4wCkGRD_U92iILD6w8EdVWGoO1wTn5Z2k8-GS1-QH9f-4KkOpaYGPCwwdrY7yioSt2oVbEj2FOb1jULteeP_Cpu44HyJktPLPW_wrN2OtZlUFr4Vz_owDSIvNESYk1JBQ_Fjlv9QGmUs9itzaDExjfB4QYoGkvpfNymtw2PI " }

    如您所见,它为我创建了JWT令牌,因此我可以使用它来调用应用程序中的任何API。如果显示出一些例外,例如无法为指定的配置生成令牌,请在此处检查此步骤。首先打开您.env文件,我们需要JWT_Passphrase ,因此请保持打开状态

    $ mkdir -p api/config/jwt
$ openssl genrsa -out api/config/jwt/private.pem -aes256 4096 # this will ask you for the JWT_PASSPHRASE
$ openssl rsa -pubout -in api/config/jwt/private.pem -out api/config/jwt/public.pem # will confirm the JWT_PASSPHRASE again
    • 让我们尝试使用此令牌来调用 /api或 /问候端点: 
    $ curl -X GET -H " Content-Type: application/json " -H " Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiJ9.eyJpYXQiOjE1NTg2OTg4MTIsImV4cCI6MTU1ODcwMjQxMiwicm9sZXMiOlsiUk9MRV9VU0VSIl0sInVzZXJuYW1lIjoidGVzdDJAbWFpbC5jb20ifQ.nzd5FVhcyrfjYyN8jRgYFp3VOB2QytnPPRGNyp4ZtfLx6IRwg0TWZJPu5OFtOKPkdLO8DQAr_4Fpq_G6oPjzoxmGOASNuRoQonik9FCCq6oAIW3k5utzQecXDVE_ImnfgByc6WYW6a-aWLnsq1qtvxy274ojqdR0rWLePwSWX5K5-t08zDBgavO_87dVpYd0DLwhHIS7F10lNscET7bfWS-ioPDTv-G74OvkcpbcjgwHhXlO7TYubnrES-FsvAw7kezQe4BPxdbXr1w-XBZuqTNEU4MyrBuadSLgjoe_gievNBtkVhKErIkEQZVjeJIQ4xaKaxwmPxZcP9jYkE47myRdbMsL9XHSd0XmGq0bPuGjOJ2KLTmUb5oeuRnY-e9Q_V9BbouEGw0sjw2meo6Jot2MZyv5ZnLci_GwpRtWqmV7ZLw5jNyiLDFXR1rz70NcJh7EXqu9o4nno3oc68zokfDQvGkJJJZMtBrLCK5pKGMh0a1elIz41LRLZvpLYCrOZ2f4wCkGRD_U92iILD6w8EdVWGoO1wTn5Z2k8-GS1-QH9f-4KkOpaYGPCwwdrY7yioSt2oVbEj2FOb1jULteeP_Cpu44HyJktPLPW_wrN2OtZlUFr4Vz_owDSIvNESYk1JBQ_Fjlv9QGmUs9itzaDExjfB4QYoGkvpfNymtw2PI " " http://localhost:8080/greetings "
{
    " @context " : " /contexts/Greeting " ,
    " @id " : " /greetings " ,
    " @type " : " hydra:Collection " ,
    " hydra:member " : [],
    " hydra:totalItems " : 0
}
$ curl -X GET -H " Content-Type: application/json " " http://localhost:8080/greetings "
  {
      " code " : 401,
      " message " : " JWT Token not found "
  }

    我想现在您看到了差异。

    • /API端点呢?让我们尝试一下: 
    $ curl -X POST -H " Content-Type: application/json " -H " Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiJ9.eyJpYXQiOjE1NTg2OTg4MTIsImV4cCI6MTU1ODcwMjQxMiwicm9sZXMiOlsiUk9MRV9VU0VSIl0sInVzZXJuYW1lIjoidGVzdDJAbWFpbC5jb20ifQ.nzd5FVhcyrfjYyN8jRgYFp3VOB2QytnPPRGNyp4ZtfLx6IRwg0TWZJPu5OFtOKPkdLO8DQAr_4Fpq_G6oPjzoxmGOASNuRoQonik9FCCq6oAIW3k5utzQecXDVE_ImnfgByc6WYW6a-aWLnsq1qtvxy274ojqdR0rWLePwSWX5K5-t08zDBgavO_87dVpYd0DLwhHIS7F10lNscET7bfWS-ioPDTv-G74OvkcpbcjgwHhXlO7TYubnrES-FsvAw7kezQe4BPxdbXr1w-XBZuqTNEU4MyrBuadSLgjoe_gievNBtkVhKErIkEQZVjeJIQ4xaKaxwmPxZcP9jYkE47myRdbMsL9XHSd0XmGq0bPuGjOJ2KLTmUb5oeuRnY-e9Q_V9BbouEGw0sjw2meo6Jot2MZyv5ZnLci_GwpRtWqmV7ZLw5jNyiLDFXR1rz70NcJh7EXqu9o4nno3oc68zokfDQvGkJJJZMtBrLCK5pKGMh0a1elIz41LRLZvpLYCrOZ2f4wCkGRD_U92iILD6w8EdVWGoO1wTn5Z2k8-GS1-QH9f-4KkOpaYGPCwwdrY7yioSt2oVbEj2FOb1jULteeP_Cpu44HyJktPLPW_wrN2OtZlUFr4Vz_owDSIvNESYk1JBQ_Fjlv9QGmUs9itzaDExjfB4QYoGkvpfNymtw2PI " " http://localhost:8080/api "
Logged in as [email protected]

    正如您只能从JWT令牌中看到的那样,您才能知道确切的登录谁,并且可以通过隐含添加剂用户属性(例如Isactive或Userroles ...等)来改进它。

感谢您在本教程中到目前为止,希望您学到一些新知识。
非常感谢您,如果您有任何疑问,请不要犹豫。
展开
附加信息
相关应用
为您推荐
相关资讯 全部