زمانی که در حال توسعه یک API با لاراول هستید، یکی از قسمتهای مهم احراز هویت (Authentication) است. احراز هویت در API به طور خلاصه باید به صورتی توسعه داده شود، که در زمان درخواست از سمت Client به Server، یک مشخصه برای سرور ارسال شود، تا بتواند تشخیص دهد، که آیا کاربر مورد نظر احراز شده است، یا خیر که بتواند، جوابی را به Client ارسال کند. در این مقاله به بررسی احراز هویت با API در لاراول میپردازیم.
پکیج Sanctum
لاراول در نسخه جدید خود پکیجی به نام Sanctum را منتشر کرد. هدف این پکیج استفاده از راهی مناسب برای احراز هویت در نرم افزارهایی، به نام SPA یا Single Page Application، است. که از طریق فریم ورکهای جاوا اسکریپت توسعه داده میشوند.برای احراز هویت با API در لاراول، کار Sanctum در اینجا به پایان نمیرسد، و این پکیج را در تمامی اپلیکیشنها و سیستمهای Token Base میتوان استفاده کرد. این پکیج همچنین قابلیت ساختن چند Token را برای هر کاربر در اپلیکیشن شما دارد، که حتی میتوانید برای هر توکن چندین قابلیت (Ability) قرار دهید، و از هر توکن به منظور دسترسی به قسمت خاصی از سیستم خود استفاده کنید. به زبان سادهتر به هر توکن میتوانید دسترسیهایی در سیستم خود دهید، که در ادامه بیشتر در مورد آن صحبت خواهیم کرد.نصب پکیج Sanctum
برای نصب پکیج Sanctum از طریق خط فرمان دستور زیر را در پروژه خود اجرا کنید.composer require laravel/sanctumphp artisan vendor:publish --provider="Laravel\Sanctum\SanctumServiceProvider"php artisan migrateتنظیمات Sanctum
در فایل config/sanctum.php تنظیمات کلی مربوط به پکیج Sanctum وجود دارد، که در زیر به شما توضیح خواهیم داد.- stateful: اینجا میتوانید دامنههایی که اجازه درخواست به سرور را دارند، تعریف کنید.
- expiration: مربوط به انقضای توکن است، که بر حسب دقیقه محاسبه میشود، و زمانی که null قرار بگیرد، توکن منقضی نخواهد شد.
- middleware: زمانی که از احراز هویت در نرم افزار SPA استفاده میکنید، باید csrf-token هایی که از طریق پکیج Sanctum به نرم افزار داده میشود، اعتبار سنجی شوند. میتوانید Middlewareهای مربوط به این کار را اینجا قرار دهید.
استفاده از پکیج Sanctum در پروژه
میخواهیم در پروژهی خودمان از طریق پکیج Sanctum یک API بنویسیم، که کاربر را از طریق توکن احراز هویت میکند، و بعد از ورود کاربر یک توکن به آن میدهد، و در درخواستهای بعدی با قرار دادن آن توکن در Header درخواست به سرور میگوییم، که درخواست از طریق کدام کاربر به سرور ارسال شده است. در اولین مرحله یک پروژه جدید لاراول با دستور زیر بسازید.composer create-project --prefer-dist laravel/laravel ApiAuthenticateSystem<?php
namespace App;
use Illuminate\Contracts\Auth\MustVerifyEmail;
use Illuminate\Foundation\Auth\User as Authenticatable;
use Illuminate\Notifications\Notifiable;
use Laravel\Sanctum\HasApiTokens;
class User extends Authenticatable
{
use HasApiTokens, Notifiable;
/**
* The attributes that are mass assignable.
*
* @var array
*/
protected $fillable = [
'name', 'email', 'password','username'
];
/**
* The attributes that should be hidden for arrays.
*
* @var array
*/
protected $hidden = [
'password', 'remember_token',
];
/**
* The attributes that should be cast to native types.
*
* @var array
*/
protected $casts = [
'email_verified_at' => 'datetime',
];
}ورود با Api
یک متد برای ورود و دریافت توکن از طریق Api میخواهیم بسازیم. به این منظور یک Controller ایجاد میکنیم. با استفاده از دستور زیر میتوانید یک Controller ایجاد کنید.php artisan make:controller Auth/UserController<?php
namespace App\Http\Controllers\Auth;
use App\Http\Controllers\Controller;
use Illuminate\Http\Request;
use Illuminate\Validation\ValidationException;
use Illuminate\Support\Facades\Hash;
class UserController extends Controller
{
public function login()
{
\request()->validate([
'email' => 'required|email',
'password' => 'required'
]);
$user = User::where('email', \request('email'))->first();
if (! $user || ! Hash::check(\request('password'), $user->password)) {
throw ValidationException::withMessages([
'email' => ['The provided credentials are incorrect.'],
]);
}
return $user->createToken('token_base_name')->plainTextToken;
}
}Route::post('/login', 'Auth\UserController@login');
خروجی را برای درخواستهای بعد باید در Header درخواست خود، وارد کنید.
محافظت از مسیر ها
میخواهیم از طریق پکیج Sanctum از مسیرها محافظت کنیم، و یک مسیری بسازیم، که فقط در زمانی که کاربر وارد شده بود، و درخواست دارای توکن بود آن مسیر اجرا شود. برای انجام این کار باید یک guard با درایور token ایجاد کنیم، و ما guard پیشفرض api را تغییر میدهیم. در فایل config/auth.php قسمت guards را به صورت زیر تغییر میدهیم. توجه کنید به صورت پیشفرض نیز لاراول درایور api را token قرار داده است. در غیر این صورت، به صورت زیر تغییر دهید.'guards' => [
'web' => [
'driver' => 'session',
'provider' => 'users',
],
'admin' => [
'driver' => 'session',
'provider' => 'admins'
],
'api' => [
'driver' => 'token',
'provider' => 'users',
'hash' => false,
],
],Route::get('/user', function (){
return \request()->user();
})->middleware('auth:sanctum');مسیر Logout
زمانی که قرار است از نرم افزار خارج شوید باید عملیات Logout را انجام دهید و در این میان نیاز است توکن ساخته شده را حذف (Revoke) کنید. مسیر Logout را به صورت زیر در فایل routes/api.php قرار دهید.Route::get('/user/logout', function (){
\request()->user()->tokens()->delete();
return response([], 204);
})->middleware('auth:sanctum');request()->user()->tokens()->where('id', $id)->delete();دسترسیها در Sanctum
پکیج Sanctum یک ویژگی با نام Ability دارد، که میتوانید در هنگام ایجاد توکن در قسمت ورود برای هر توکن که ایجاد میکنید، یک سری Ability نیز به آن دهید. در این مقاله یک روش نیز برای دسترسی به قسمتهای مختلف پروژه از طریق قابلیتی به نام Policy در لاراول را به شما خواهیم گفت.ایجاد Ability برای کاربر
در فایل UserController.php که در بالاتر ایجاد کردیم، متد login را به صورت زیر تغییر دهید.public function login()
{
$this->validate(\request(),[
'email' => 'required|email',
'password' => 'required'
]);
$user = User::where('email', \request('email'))->first();
if (! $user || ! Hash::check((int)\request('password'), $user->password)) {
throw ValidationException::withMessages([
'email' => ['The provided credentials are incorrect.'],
]);
}
return $user->createToken('token_base_name', ['user:view'])->plainTextToken;
}ایجاد قوانین دسترسی
میتوانیم از قابلیت Policy در لاراول استفاده کنیم. Policy در لاراول به ما این امکان را میدهد، تا برای دسترسی به مدلهای خود یک قاعده و قانون بنویسیم. برای مثال میخواهیم در یک Controller پنج قسمت لیست، نمایش، اضافه، ویرایش و حذف را برای یک مدل بنویسیم. میتوانیم برای آن مدل یک Policy تعریف کنیم، تا برای هر کدام از عملیات بالا یک قانون بنویسیم. برای ایجاد یک Policy از طریق خط فرمان دستور زیر را اجرا کنید.php artisan make:policy UserPolicy -m Userpublic function view(User $user, User $model)
{
return $user->tokenCan('user:view') && $user->id === $model->id;
}public function getUser()
{
$this->authorize('view', \request()->user());
return \request()->user();
}Route::get('/user','Auth\UserController@getUser')->middleware('auth:sanctum');اگر به یادگیری بیشتر لاراول علاقه داری میتوانی در دوره آموزش پروژه محور لاراول کاربردی (بسته پروژه محور) شرکت کنی، این دوره شامل ۱۲ پروژه کاربردی و پر استفاده در دنیای واقعی است، که تمامی پروژهها به صورت کامل برنامه نویسی خواهند شد، تا دانشجو بتواند با روند ایجاد و تکمیل پروژه به صورت کامل آشنا شود.