Laravel 中文文档

主题

认证

简介

许多 Web 应用程序为用户提供了一种认证和"登录"的方式。在 Web 应用程序中实现此功能可能是一项复杂且潜在风险较高的工作。因此,Laravel 致力于为你提供快速、安全且轻松实现认证所需的工具。

Laravel 的认证功能由"guard"和"provider"两个核心概念组成。Guard 定义了每个请求中用户如何被认证。例如,Laravel 附带了一个 session guard,它使用会话存储和 cookie 来维护状态。

Provider 定义了如何从持久化存储中检索用户。Laravel 附带了使用 Eloquent 和数据库查询构建器检索用户的支持。但是,你可以根据应用程序的需要自由定义额外的 provider。

应用程序的认证配置文件位于 config/auth.php。该文件包含多个注释详尽的选项,用于调整 Laravel 认证服务的行为。

NOTE

Guard 和 provider 不应与"角色"和"权限"混淆。要了解有关通过权限授权用户操作的更多信息,请参阅授权文档。

起步套件

想要快速入门?在全新的 Laravel 应用程序中安装一个 Laravel 应用程序起步套件。迁移数据库后,在浏览器中导航到 /register 或分配给你的应用程序的任何其他 URL。起步套件将负责搭建整个认证系统!

即使你选择不在最终的 Laravel 应用程序中使用起步套件,安装起步套件也是学习如何在实际 Laravel 项目中实现所有 Laravel 认证功能的绝佳机会。 由于 Laravel 起步套件包含认证控制器、路由和视图,你可以检查这些文件中的代码,了解如何实现 Laravel 的认证功能。

数据库注意事项

默认情况下,Laravel 在 app/Models 目录中包含一个 App\Models\User Eloquent 模型。该模型可与默认的 Eloquent 认证驱动一起使用。

如果你的应用程序没有使用 Eloquent,你可以使用基于 Laravel 查询构建器的 database 认证 provider。如果你的应用程序使用 MongoDB,请查看 MongoDB 官方的 Laravel 用户认证文档

在为 App\Models\User 模型构建数据库模式时,请确保密码列的长度至少为 60 个字符。当然,新 Laravel 应用程序中包含的 users 表迁移已经创建了超过此长度的列。

此外,你应该验证 users(或等效)表包含一个可为空的、100 个字符的字符串 remember_token 列。此列将用于存储选择"记住我"选项登录应用程序的用户的令牌。同样,新 Laravel 应用程序中包含的默认 users 表迁移已经包含此列。

生态系统概览

Laravel 提供了几个与认证相关的包。在继续之前,我们将回顾 Laravel 中的通用认证生态系统并讨论每个包的预期用途。

首先,考虑认证是如何工作的。使用 Web 浏览器时,用户将通过登录表单提供其用户名和密码。如果这些凭据正确,应用程序将在用户的会话中存储有关已认证用户的信息。发给浏览器的 cookie 包含会话 ID,以便后续对应用程序的请求可以将用户与正确的会话关联起来。收到会话 cookie 后,应用程序将根据会话 ID 检索会话数据,注意认证信息已存储在会话中,并将用户视为"已认证"。

当远程服务需要认证以访问 API 时,通常不使用 cookie 进行认证,因为没有 Web 浏览器。相反,远程服务在每个请求中向 API 发送一个 API 令牌。应用程序可以根据有效 API 令牌表验证传入的令牌,并将请求"认证"为由与该 API 令牌关联的用户执行。

Laravel 内置的浏览器认证服务

Laravel 包含内置的认证和会话服务,通常通过 AuthSession facade 访问。这些功能为从 Web 浏览器发起的请求提供基于 cookie 的认证。它们提供了允许你验证用户凭据和认证用户的方法。此外,这些服务将自动在用户会话中存储适当的认证数据并发出用户的会话 cookie。本文档中包含了如何使用这些服务的讨论。

应用程序起步套件

如本文档所述,你可以手动与这些认证服务交互以构建应用程序自己的认证层。但是,为了帮助你更快地入门,我们发布了免费的起步套件,为整个认证层提供强大的现代脚手架。

Laravel 的 API 认证服务

Laravel 提供了两个可选包来帮助你管理 API 令牌和认证使用 API 令牌发出的请求:PassportSanctum。请注意,这些库和 Laravel 内置的基于 cookie 的认证库并不互斥。这些库主要专注于 API 令牌认证,而内置认证服务专注于基于 cookie 的浏览器认证。许多应用程序将同时使用 Laravel 内置的基于 cookie 的认证服务和 Laravel 的 API 认证包之一。

Passport

Passport 是一个 OAuth2 认证提供商,提供各种 OAuth2"授权类型",允许你发行各种类型的令牌。总的来说,这是一个用于 API 认证的强大而复杂的包。然而,大多数应用程序不需要 OAuth2 规范提供的复杂功能,这可能会让用户和开发人员感到困惑。此外,开发人员历来对如何使用 Passport 等 OAuth2 认证提供商来认证 SPA 应用程序或移动应用程序感到困惑。

Sanctum

为了应对 OAuth2 的复杂性和开发者的困惑,我们着手构建一个更简单、更精简的认证包,可以同时处理来自 Web 浏览器的第一方 Web 请求和通过令牌的 API 请求。这个目标随着 Laravel Sanctum 的发布而实现,它应被视为应用程序的首选和推荐认证包——适用于除了 API 之外还提供第一方 Web UI 的应用程序、由与后端 Laravel 应用程序分离的单页应用程序(SPA)驱动的应用程序,或提供移动客户端的应用程序。

Laravel Sanctum 是一个混合 Web / API 认证包,可以管理应用程序的整个认证过程。这是可能的,因为当基于 Sanctum 的应用程序收到请求时,Sanctum 将首先确定请求是否包含引用已认证会话的会话 cookie。Sanctum 通过调用我们前面讨论的 Laravel 内置认证服务来实现这一点。如果请求不是通过会话 cookie 进行认证的,Sanctum 将检查请求中是否有 API 令牌。如果存在 API 令牌,Sanctum 将使用该令牌认证请求。要了解有关此过程的更多信息,请参阅 Sanctum 的"工作原理"文档。

总结与选择你的技术栈

总之,如果你的应用程序将使用浏览器访问并且你正在构建单体 Laravel 应用程序,你的应用程序将使用 Laravel 内置的认证服务。

接下来,如果你的应用程序提供将被第三方使用的 API,你将在 PassportSanctum 之间选择,为你的应用程序提供 API 令牌认证。通常,应尽可能优先使用 Sanctum,因为它是 API 认证、SPA 认证和移动认证的简单、完整的解决方案,包括对"scopes"或"abilities"的支持。

如果你正在构建由 Laravel 后端驱动的单页应用程序(SPA),你应该使用 Laravel Sanctum。使用 Sanctum 时,你需要手动实现自己的后端认证路由或使用 Laravel Fortify 作为无头认证后端服务,它提供注册、密码重置、邮箱验证等功能的路由和控制器。

当你的应用程序绝对需要 OAuth2 规范提供的所有功能时,可以选择 Passport。

如果你想快速入门,我们很高兴推荐我们的应用程序起步套件,作为启动已经使用 Laravel 内置认证服务的首选认证栈的新 Laravel 应用程序的快速方式。

认证快速入门

WARNING

本文档的这一部分讨论通过 Laravel 应用程序起步套件认证用户,其中包含 UI 脚手架以帮助你快速入门。如果你想直接与 Laravel 的认证系统集成,请查看手动认证用户的文档。

安装起步套件

首先,你应该安装一个 Laravel 应用程序起步套件。我们的起步套件提供了精心设计的起点,用于将认证整合到你的全新 Laravel 应用程序中。

获取已认证用户

从起步套件创建应用程序并允许用户注册和认证后,你通常需要与当前已认证的用户进行交互。在处理传入请求时,你可以通过 Auth facade 的 user 方法访问已认证的用户:

php
use Illuminate\Support\Facades\Auth;

// 获取当前已认证的用户...
$user = Auth::user();

// 获取当前已认证用户的 ID...
$id = Auth::id();

或者,一旦用户通过认证,你可以通过 Illuminate\Http\Request 实例访问已认证的用户。请记住,类型提示的类将自动注入到控制器方法中。通过类型提示 Illuminate\Http\Request 对象,你可以通过请求的 user 方法从应用程序中的任何控制器方法方便地访问已认证的用户:

php
<?php

namespace App\Http\Controllers;

use Illuminate\Http\RedirectResponse;
use Illuminate\Http\Request;

class FlightController extends Controller
{
    /**
     * 更新现有航班的航班信息。
     */
    public function update(Request $request): RedirectResponse
    {
        $user = $request->user();

        // ...

        return redirect('/flights');
    }
}

判断当前用户是否已认证

要判断发出传入 HTTP 请求的用户是否已认证,你可以使用 Auth facade 上的 check 方法。如果用户已认证,此方法将返回 true

php
use Illuminate\Support\Facades\Auth;

if (Auth::check()) {
    // 用户已登录...
}

NOTE

虽然可以使用 check 方法来判断用户是否已认证,但你通常会使用中间件在允许用户访问某些路由/控制器之前验证用户是否已认证。要了解更多信息,请查看路由保护文档。

路由保护

路由中间件可用于仅允许已认证的用户访问给定路由。Laravel 附带了一个 auth 中间件,它是 Illuminate\Auth\Middleware\Authenticate 类的中间件别名。由于此中间件已在 Laravel 内部设置了别名,你只需将中间件附加到路由定义即可:

php
Route::get('/flights', function () {
    // 只有已认证的用户才能访问此路由...
})->middleware('auth');

重定向未认证用户

auth 中间件检测到未认证用户时,它将把用户重定向到 login 命名路由。你可以在应用程序的 bootstrap/app.php 文件中使用 redirectGuestsTo 方法来修改此行为:

php
use Illuminate\Http\Request;

->withMiddleware(function (Middleware $middleware): void {
    $middleware->redirectGuestsTo('/login');

    // 使用闭包...
    $middleware->redirectGuestsTo(fn (Request $request) => route('login'));
})

重定向已认证用户

guest 中间件检测到已认证用户时,它将把用户重定向到 dashboardhome 命名路由。你可以在应用程序的 bootstrap/app.php 文件中使用 redirectUsersTo 方法来修改此行为:

php
use Illuminate\Http\Request;

->withMiddleware(function (Middleware $middleware): void {
    $middleware->redirectUsersTo('/panel');

    // 使用闭包...
    $middleware->redirectUsersTo(fn (Request $request) => route('panel'));
})

指定 Guard

auth 中间件附加到路由时,你还可以指定应使用哪个"guard"来认证用户。指定的 guard 应对应于 auth.php 配置文件中 guards 数组的键之一:

php
Route::get('/flights', function () {
    // 只有已认证的用户才能访问此路由...
})->middleware('auth:admin');

登录限流

如果你正在使用我们的应用程序起步套件之一,速率限制将自动应用于登录尝试。默认情况下,如果用户在多次尝试后未能提供正确的凭据,则将无法在一分钟内登录。限流对用户的用户名/电子邮件地址及其 IP 地址是唯一的。

NOTE

如果你想对应用程序中的其他路由进行速率限制,请查看速率限制文档

手动认证用户

你不必使用 Laravel 应用程序起步套件中包含的认证脚手架。如果你选择不使用此脚手架,你将需要直接使用 Laravel 认证类来管理用户认证。别担心,这很简单!

我们将通过 Auth facade 访问 Laravel 的认证服务,因此我们需要确保在类的顶部导入 Auth facade。接下来,让我们看看 attempt 方法。attempt 方法通常用于处理来自应用程序"登录"表单的认证尝试。如果认证成功,你应该重新生成用户的会话以防止会话固定

php
<?php

namespace App\Http\Controllers;

use Illuminate\Http\Request;
use Illuminate\Http\RedirectResponse;
use Illuminate\Support\Facades\Auth;

class LoginController extends Controller
{
    /**
     * Handle an authentication attempt.
     */
    public function authenticate(Request $request): RedirectResponse
    {
        $credentials = $request->validate([
            'email' => ['required', 'email'],
            'password' => ['required'],
        ]);

        if (Auth::attempt($credentials)) {
            $request->session()->regenerate();

            return redirect()->intended('dashboard');
        }

        return back()->withErrors([
            'email' => 'The provided credentials do not match our records.',
        ])->onlyInput('email');
    }
}

attempt 方法接受一个键/值对数组作为其第一个参数。数组中的值将用于在数据库表中查找用户。因此,在上面的示例中,将通过 email 列的值检索用户。如果找到用户,存储在数据库中的哈希密码将与通过数组传递给方法的 password 值进行比较。你不应该对传入请求的 password 值进行哈希处理,因为框架会在将其与数据库中的哈希密码进行比较之前自动对该值进行哈希处理。如果两个哈希密码匹配,将为用户启动一个已认证的会话。

请记住,Laravel 的认证服务将根据认证 guard 的"provider"配置从数据库中检索用户。在默认的 config/auth.php 配置文件中,指定了 Eloquent 用户 provider,并指示在检索用户时使用 App\Models\User 模型。你可以根据应用程序的需要在配置文件中更改这些值。

如果认证成功,attempt 方法将返回 true。否则,将返回 false

Laravel 重定向器提供的 intended 方法会将用户重定向到被认证中间件拦截之前尝试访问的 URL。如果预期目的地不可用,可以给此方法提供一个备用 URI。

指定附加条件

如果你愿意,还可以在用户的电子邮件和密码之外向认证查询添加额外的查询条件。为此,我们可以简单地将查询条件添加到传递给 attempt 方法的数组中。例如,我们可以验证用户是否被标记为"active":

php
if (Auth::attempt(['email' => $email, 'password' => $password, 'active' => 1])) {
    // 认证成功...
}

对于复杂的查询条件,你可以在凭据数组中提供一个闭包。此闭包将使用查询实例调用,允许你根据应用程序的需要自定义查询:

php
use Illuminate\Database\Eloquent\Builder;

if (Auth::attempt([
    'email' => $email,
    'password' => $password,
    fn (Builder $query) => $query->has('activeSubscription'),
])) {
    // 认证成功...
}

WARNING

在这些示例中,email 不是必需的选项,它只是用作示例。你应该使用数据库表中与"用户名"对应的任何列名。

attemptWhen 方法接收一个闭包作为其第二个参数,可用于在实际认证用户之前对潜在用户进行更广泛的检查。闭包接收潜在用户,应返回 truefalse 以指示用户是否可以被认证:

php
if (Auth::attemptWhen([
    'email' => $email,
    'password' => $password,
], function (User $user) {
    return $user->isNotBanned();
})) {
    // 认证成功...
}

访问特定的 Guard 实例

通过 Auth facade 的 guard 方法,你可以指定在认证用户时要使用的 guard 实例。这允许你使用完全独立的可认证模型或用户表来管理应用程序不同部分的认证。

传递给 guard 方法的 guard 名称应对应于 auth.php 配置文件中配置的 guard 之一:

php
if (Auth::guard('admin')->attempt($credentials)) {
    // ...
}

记住用户

许多 Web 应用程序在其登录表单上提供"记住我"复选框。如果你想在应用程序中提供"记住我"功能,可以将布尔值作为第二个参数传递给 attempt 方法。

当此值为 true 时,Laravel 将无限期地保持用户认证状态,直到他们手动注销。你的 users 表必须包含字符串类型的 remember_token 列,用于存储"记住我"令牌。新 Laravel 应用程序中包含的 users 表迁移已经包含此列:

php
use Illuminate\Support\Facades\Auth;

if (Auth::attempt(['email' => $email, 'password' => $password], $remember)) {
    // 用户被记住了...
}

如果你的应用程序提供"记住我"功能,你可以使用 viaRemember 方法来确定当前已认证的用户是否使用"记住我"cookie 进行了认证:

php
use Illuminate\Support\Facades\Auth;

if (Auth::viaRemember()) {
    // ...
}

其他认证方法

认证用户实例

如果你需要将现有用户实例设置为当前已认证的用户,可以将用户实例传递给 Auth facade 的 login 方法。给定的用户实例必须是 Illuminate\Contracts\Auth\Authenticatable 契约的实现。Laravel 附带的 App\Models\User 模型已经实现了此接口。当你已经有一个有效的用户实例时(例如用户在应用程序中注册后),此认证方法很有用:

php
use Illuminate\Support\Facades\Auth;

Auth::login($user);

你可以将布尔值作为第二个参数传递给 login 方法。此值指示是否需要对已认证的会话提供"记住我"功能。请记住,这意味着会话将无限期认证或直到用户手动注销应用程序:

php
Auth::login($user, $remember = true);

如果需要,你可以在调用 login 方法之前指定认证 guard:

php
Auth::guard('admin')->login($user);

通过 ID 认证用户

要使用数据库记录的主键认证用户,你可以使用 loginUsingId 方法。此方法接受你要认证的用户的主键:

php
Auth::loginUsingId(1);

你可以向 loginUsingId 方法的 remember 参数传递布尔值。此值指示是否需要对已认证的会话提供"记住我"功能。请记住,这意味着会话将无限期认证或直到用户手动注销应用程序:

php
Auth::loginUsingId(1, remember: true);

一次性认证用户

你可以使用 once 方法为单个请求认证用户。调用此方法时不会使用会话或 cookie,也不会调度 Login 事件:

php
if (Auth::once($credentials)) {
    // ...
}

HTTP Basic 认证

HTTP Basic 认证提供了一种快速认证应用程序用户的方法,无需设置专用的"登录"页面。要开始使用,请将 auth.basic 中间件附加到路由。auth.basic 中间件包含在 Laravel 框架中,因此你无需定义它:

php
Route::get('/profile', function () {
    // 只有已认证的用户才能访问此路由...
})->middleware('auth.basic');

将中间件附加到路由后,在浏览器中访问该路由时将自动提示你输入凭据。默认情况下,auth.basic 中间件将假定 users 数据库表上的 email 列是用户的"用户名"。

关于 FastCGI 的说明

如果你使用 PHP FastCGI 和 Apache 来服务你的 Laravel 应用程序,HTTP Basic 认证可能无法正常工作。要纠正这些问题,可以将以下行添加到应用程序的 .htaccess 文件中:

apache
RewriteCond %{HTTP:Authorization} ^(.+)$
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]

无状态 HTTP Basic 认证

你也可以在不在会话中设置用户标识符 cookie 的情况下使用 HTTP Basic 认证。如果你选择使用 HTTP 认证来认证对应用程序 API 的请求,这将特别有用。为此,定义一个中间件来调用 onceBasic 方法。如果 onceBasic 方法没有返回响应,请求可以继续传递到应用程序中:

php
<?php

namespace App\Http\Middleware;

use Closure;
use Illuminate\Http\Request;
use Illuminate\Support\Facades\Auth;
use Symfony\Component\HttpFoundation\Response;

class AuthenticateOnceWithBasicAuth
{
    /**
     * Handle an incoming request.
     *
     * @param  \Closure(\Illuminate\Http\Request): (\Symfony\Component\HttpFoundation\Response)  $next
     */
    public function handle(Request $request, Closure $next): Response
    {
        return Auth::onceBasic() ?: $next($request);
    }

}

接下来,将中间件附加到路由:

php
Route::get('/api/user', function () {
    // 只有已认证的用户才能访问此路由...
})->middleware(AuthenticateOnceWithBasicAuth::class);

注销

要手动注销应用程序中的用户,你可以使用 Auth facade 提供的 logout 方法。这将从用户的会话中删除认证信息,以便后续请求不会被认证。

除了调用 logout 方法外,建议你使用户的会话无效并重新生成其 CSRF 令牌。注销用户后,你通常会将用户重定向到应用程序的根路径:

php
use Illuminate\Http\Request;
use Illuminate\Http\RedirectResponse;
use Illuminate\Support\Facades\Auth;

/**
 * 将用户从应用程序中注销。
 */
public function logout(Request $request): RedirectResponse
{
    Auth::logout();

    $request->session()->invalidate();

    $request->session()->regenerateToken();

    return redirect('/');
}

使其他设备上的会话失效

Laravel 还提供了一种机制,用于使用户在其他设备上活跃的会话失效并"注销",而不会使当前设备上的会话失效。此功能通常在用户更改或更新密码时使用,你希望使其他设备上的会话失效,同时保持当前设备的认证状态。

在开始之前,你应该确保 Illuminate\Session\Middleware\AuthenticateSession 中间件已包含在应接收会话认证的路由上。通常,你应该将此中间件放在路由组定义上,以便将其应用于应用程序的大多数路由。默认情况下,AuthenticateSession 中间件可以使用 auth.session 中间件别名附加到路由:

php
Route::middleware(['auth', 'auth.session'])->group(function () {
    Route::get('/', function () {
        // ...
    });
});

然后,你可以使用 Auth facade 提供的 logoutOtherDevices 方法。此方法要求用户确认其当前密码,你的应用程序应通过输入表单接受该密码:

php
use Illuminate\Support\Facades\Auth;

Auth::logoutOtherDevices($currentPassword);

当调用 logoutOtherDevices 方法时,用户的其他会话将完全失效,这意味着他们将从之前认证的所有 guard 中"注销"。

密码确认

在构建应用程序时,你可能偶尔会遇到需要用户在执行操作之前或被重定向到应用程序的敏感区域之前确认其密码的操作。Laravel 包含内置中间件使此过程变得轻而易举。实现此功能需要你定义两个路由:一个路由用于显示要求用户确认密码的视图,另一个路由用于确认密码有效并将用户重定向到其预期目的地。

NOTE

以下文档讨论了如何直接与 Laravel 的密码确认功能集成;但是,如果你想更快地入门,Laravel 应用程序起步套件包含对此功能的支持!

配置

确认密码后,用户在三小时内不会被要求再次确认密码。但是,你可以通过更改应用程序 config/auth.php 配置文件中的 password_timeout 配置值来配置重新提示用户输入密码之前的时间长度。

路由

密码确认表单

首先,我们将定义一个路由来显示请求用户确认密码的视图:

php
Route::get('/confirm-password', function () {
    return view('auth.confirm-password');
})->middleware('auth')->name('password.confirm');

正如你所预期的,此路由返回的视图应该有一个包含 password 字段的表单。此外,你可以在视图中包含文本,说明用户正在进入应用程序的受保护区域,必须确认其密码。

确认密码

接下来,我们将定义一个路由来处理来自"确认密码"视图的表单请求。此路由将负责验证密码并将用户重定向到其预期目的地:

php
use Illuminate\Http\Request;
use Illuminate\Support\Facades\Hash;

Route::post('/confirm-password', function (Request $request) {
    if (! Hash::check($request->password, $request->user()->password)) {
        return back()->withErrors([
            'password' => ['The provided password does not match our records.']
        ]);
    }

    $request->session()->passwordConfirmed();

    return redirect()->intended();
})->middleware(['auth', 'throttle:6,1']);

在继续之前,让我们更详细地检查此路由。首先,确定请求的 password 字段是否实际匹配已认证用户的密码。如果密码有效,我们需要通知 Laravel 的会话用户已确认其密码。passwordConfirmed 方法将在用户的会话中设置一个时间戳,Laravel 可以使用该时间戳来确定用户上次确认密码的时间。最后,我们可以将用户重定向到其预期目的地。

保护路由

你应该确保执行需要最近密码确认的操作的任何路由都被分配了 password.confirm 中间件。此中间件包含在 Laravel 的默认安装中,将自动在会话中存储用户的预期目的地,以便用户在确认密码后可以重定向到该位置。在会话中存储用户的预期目的地后,中间件将把用户重定向到 password.confirm 命名路由

php
Route::get('/settings', function () {
    // ...
})->middleware(['password.confirm']);

Route::post('/settings', function () {
    // ...
})->middleware(['password.confirm']);

添加自定义 Guard

你可以使用 Auth facade 上的 extend 方法定义自己的认证 guard。你应该将对 extend 方法的调用放在服务提供者中。由于 Laravel 已经附带了 AppServiceProvider,我们可以将代码放在该提供者中:

php
<?php

namespace App\Providers;

use App\Services\Auth\JwtGuard;
use Illuminate\Contracts\Foundation\Application;
use Illuminate\Support\Facades\Auth;
use Illuminate\Support\ServiceProvider;

class AppServiceProvider extends ServiceProvider
{
    // ...

    /**
     * 引导任何应用程序服务。
     */
    public function boot(): void
    {
        Auth::extend('jwt', function (Application $app, string $name, array $config) {
            // 返回 Illuminate\Contracts\Auth\Guard 的实例...

            return new JwtGuard(Auth::createUserProvider($config['provider']));
        });
    }
}

如上例所示,传递给 extend 方法的回调应返回 Illuminate\Contracts\Auth\Guard 的实现。此接口包含你需要实现的几个方法来定义自定义 guard。定义自定义 guard 后,你可以在 auth.php 配置文件的 guards 配置中引用该 guard:

php
'guards' => [
    'api' => [
        'driver' => 'jwt',
        'provider' => 'users',
    ],
],

闭包请求 Guard

实现基于 HTTP 请求的自定义认证系统的最简单方法是使用 Auth::viaRequest 方法。此方法允许你使用单个闭包快速定义认证过程。

要开始使用,请在应用程序 AppServiceProviderboot 方法中调用 Auth::viaRequest 方法。viaRequest 方法接受认证驱动名称作为其第一个参数。此名称可以是描述自定义 guard 的任何字符串。传递给方法的第二个参数应该是一个闭包,它接收传入的 HTTP 请求并返回用户实例,如果认证失败则返回 null

php
use App\Models\User;
use Illuminate\Http\Request;
use Illuminate\Support\Facades\Auth;

/**
 * 引导任何应用程序服务。
 */
public function boot(): void
{
    Auth::viaRequest('custom-token', function (Request $request) {
        return User::where('token', (string) $request->token)->first();
    });
}

定义自定义认证驱动后,你可以在 auth.php 配置文件的 guards 配置中将其配置为驱动:

php
'guards' => [
    'api' => [
        'driver' => 'custom-token',
    ],
],

最后,你可以在将认证中间件分配给路由时引用该 guard:

php
Route::middleware('auth:api')->group(function () {
    // ...
});

添加自定义用户 Provider

如果你没有使用传统的关系型数据库来存储用户,你将需要用自己的认证用户 provider 扩展 Laravel。我们将使用 Auth facade 上的 provider 方法来定义自定义用户 provider。用户 provider 解析器应返回 Illuminate\Contracts\Auth\UserProvider 的实现:

php
<?php

namespace App\Providers;

use App\Extensions\MongoUserProvider;
use Illuminate\Contracts\Foundation\Application;
use Illuminate\Support\Facades\Auth;
use Illuminate\Support\ServiceProvider;

class AppServiceProvider extends ServiceProvider
{
    // ...

    /**
     * 引导任何应用程序服务。
     */
    public function boot(): void
    {
        Auth::provider('mongo', function (Application $app, array $config) {
            // 返回 Illuminate\Contracts\Auth\UserProvider 的实例...

            return new MongoUserProvider($app->make('mongo.connection'));
        });
    }
}

使用 provider 方法注册 provider 后,你可以在 auth.php 配置文件中切换到新的用户 provider。首先,定义一个使用新驱动的 provider

php
'providers' => [
    'users' => [
        'driver' => 'mongo',
    ],
],

最后,你可以在 guards 配置中引用此 provider:

php
'guards' => [
    'web' => [
        'driver' => 'session',
        'provider' => 'users',
    ],
],

UserProvider 契约

Illuminate\Contracts\Auth\UserProvider 实现负责从持久化存储系统(如 MySQL、MongoDB 等)中获取 Illuminate\Contracts\Auth\Authenticatable 实现。这两个接口允许 Laravel 认证机制继续运行,而不管用户数据如何存储或使用什么类型的类来表示已认证的用户:

让我们看看 Illuminate\Contracts\Auth\UserProvider 契约:

php
<?php

namespace Illuminate\Contracts\Auth;

interface UserProvider
{
    public function retrieveById($identifier);
    public function retrieveByToken($identifier, $token);
    public function updateRememberToken(Authenticatable $user, $token);
    public function retrieveByCredentials(array $credentials);
    public function validateCredentials(Authenticatable $user, array $credentials);
    public function rehashPasswordIfRequired(Authenticatable $user, array $credentials, bool $force = false);
}

retrieveById 函数通常接收表示用户的键,例如 MySQL 数据库中的自增 ID。该方法应检索并返回与 ID 匹配的 Authenticatable 实现。

retrieveByToken 函数通过用户的唯一 $identifier 和"记住我" $token(通常存储在 remember_token 等数据库列中)检索用户。与前一个方法一样,此方法应返回具有匹配令牌值的 Authenticatable 实现。

updateRememberToken 方法使用新的 $token 更新 $user 实例的 remember_token。在成功的"记住我"认证尝试或用户注销时,会为用户分配新的令牌。

retrieveByCredentials 方法接收在尝试认证应用程序时传递给 Auth::attempt 方法的凭据数组。然后该方法应"查询"底层持久化存储以查找与这些凭据匹配的用户。通常,此方法将运行一个带有"where"条件的查询,搜索"用户名"与 $credentials['username'] 的值匹配的用户记录。该方法应返回 Authenticatable 的实现。此方法不应尝试执行任何密码验证或认证。

validateCredentials 方法应将给定的 $user$credentials 进行比较以认证用户。例如,此方法通常会使用 Hash::check 方法将 $user->getAuthPassword() 的值与 $credentials['password'] 的值进行比较。此方法应返回 truefalse 以指示密码是否有效。

rehashPasswordIfRequired 方法应在需要且支持时重新哈希给定 $user 的密码。例如,此方法通常会使用 Hash::needsRehash 方法来确定 $credentials['password'] 值是否需要重新哈希。如果密码需要重新哈希,该方法应使用 Hash::make 方法重新哈希密码并更新底层持久化存储中的用户记录。

Authenticatable 契约

现在我们已经探索了 UserProvider 上的每个方法,让我们看看 Authenticatable 契约。请记住,用户 provider 应从 retrieveByIdretrieveByTokenretrieveByCredentials 方法返回此接口的实现:

php
<?php

namespace Illuminate\Contracts\Auth;

interface Authenticatable
{
    public function getAuthIdentifierName();
    public function getAuthIdentifier();
    public function getAuthPasswordName();
    public function getAuthPassword();
    public function getRememberToken();
    public function setRememberToken($value);
    public function getRememberTokenName();
}

此接口很简单。getAuthIdentifierName 方法应返回用户"主键"列的名称,getAuthIdentifier 方法应返回用户的"主键"。使用 MySQL 后端时,这可能是分配给用户记录的自增主键。getAuthPasswordName 方法应返回用户密码列的名称。getAuthPassword 方法应返回用户的哈希密码。

此接口允许认证系统与任何"用户"类一起工作,无论你使用的是什么 ORM 或存储抽象层。默认情况下,Laravel 在 app/Models 目录中包含一个实现了此接口的 App\Models\User 类。

自动密码重新哈希

Laravel 的默认密码哈希算法是 bcrypt。bcrypt 哈希的"工作因子"可以通过应用程序的 config/hashing.php 配置文件或 BCRYPT_ROUNDS 环境变量进行调整。

通常,随着 CPU / GPU 处理能力的增加,bcrypt 工作因子应该随时间增加。如果你增加了应用程序的 bcrypt 工作因子,当用户通过 Laravel 的起步套件认证你的应用程序或通过 attempt 方法手动认证用户时,Laravel 将优雅地自动重新哈希用户密码。

通常,自动密码重新哈希不应中断你的应用程序;但是,你可以通过发布 hashing 配置文件来禁用此行为:

shell
php artisan config:publish hashing

配置文件发布后,你可以将 rehash_on_login 配置值设置为 false

php
'rehash_on_login' => false,

事件

Laravel 在认证过程中调度各种事件。你可以为以下任何事件定义监听器

事件名称
Illuminate\Auth\Events\Registered
Illuminate\Auth\Events\Attempting
Illuminate\Auth\Events\Authenticated
Illuminate\Auth\Events\Login
Illuminate\Auth\Events\Failed
Illuminate\Auth\Events\Validated
Illuminate\Auth\Events\Verified
Illuminate\Auth\Events\Logout
Illuminate\Auth\Events\CurrentDeviceLogout
Illuminate\Auth\Events\OtherDeviceLogout
Illuminate\Auth\Events\Lockout
Illuminate\Auth\Events\PasswordReset
Illuminate\Auth\Events\PasswordResetLinkSent