欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  后端开发

Laravel 5.1 + OAuth2 PasswordGrant(密码授权模式)

程序员文章站 2022-06-09 11:16:58
...
背景简述

本文意在搭建一个通用的应用后端服务环境, 账号验证是应用的基础环境之一.

OAuth2可提供安全的验证环境, 以access_token作为访问安全资源的令牌, 作为单一的应用端与后端的交互方式, 采用password类型会更简洁一点, 若是要实现类似Google, Facebook或新浪微博的第三方登录平台模式, 请选用Authorisation code grant.

OAuth类型参考说明: https://github.com/lucadegasperi/oauth2-server-laravel/wiki/Choosing-a-Grant

本文选用的OAuth2授权方式为: password, 需搭配 refresh_token使用, 在access_token过期后, 使用refresh_token申请新的access_token, 无需重新登录, 达到应用端登录一次,一直有效的效果.

若refresh_token失效, 则需用户重新登录, 这对对应着用户长期没有使用应用, 需让用户重新登录授权的场景. 一般时间可以设成一个月, 根据实际需求设置.

环境:

Laravel 5.1 安装请参考博文:

专为Laravel定制的OAuth2实现 oauth2-server-laravel : https://github.com/lucadegasperi/oauth2-server-laravel/wiki

oauth2-server-laravel PasswordGrant安装及配置请参考官网文档, 已经很清楚了:

安装配置: https://github.com/lucadegasperi/oauth2-server-laravel/wiki/Laravel-5-Installation

使用: https://github.com/lucadegasperi/oauth2-server-laravel/wiki/Implementing-an-Authorization-Server-with-the-Password-Grant

本文重点:

官网只说明了如何配置以及添加使用代码, 但未说明如何调用, 这可能会拦住不少菜鸟.

ps: 这里纠正一下官网文档的一个"手误":

'\App\PasswordVerifier@verify' 改成 '\App\PasswordGrantVerifier@verify' 与后面的类定义一致

测试数据准备

测试前,需要有一个AppID和AppSecret, 和第三方平台一样, 这是为了能识别是某一个应用的访问

操作如下: 在oauth_clients表中加入一条app信息, 如:

模拟HTTP请求

这里模拟一下HTTP请求的过程, 直接贴图, 大家懂的

授权获取access_token, 注意参数中的 client_id及client_secret需与oath_clients里的一致.


access_token过期后, 用refresh_token进行更新, 返回新的 access_token 及 refresh_token