Laravel Socialite

简介

除了典型的基于表单的认证外，Laravel 还提供了一种简单、便捷的方式来使用 Laravel Socialite 通过 OAuth 提供商进行认证。Socialite 目前支持通过 Facebook、X、LinkedIn、Google、GitHub、GitLab、Bitbucket 和 Slack 进行认证。

NOTE

其他平台的适配器可通过社区驱动的 Socialite Providers 网站获取。

安装

要开始使用 Socialite，请使用 Composer 包管理器将该包添加到项目的依赖中：

composer require laravel/socialite

升级 Socialite

升级到 Socialite 的新主要版本时，务必仔细查看升级指南。

配置

在使用 Socialite 之前，你需要为应用使用的 OAuth 提供商添加凭据。通常，这些凭据可以通过在你将要进行认证的服务仪表板中创建"开发者应用"来获取。

这些凭据应放置在应用的 config/services.php 配置文件中，并且应使用 facebook、x、linkedin-openid、google、github、gitlab、bitbucket、slack 或 slack-openid 作为键，具体取决于你的应用所需的提供商：

'github' => [
    'client_id' => env('GITHUB_CLIENT_ID'),
    'client_secret' => env('GITHUB_CLIENT_SECRET'),
    'redirect' => 'http://example.com/callback-url',
],

NOTE

如果 redirect 选项包含相对路径，它将自动解析为完全限定的 URL。

认证

路由

要使用 OAuth 提供商认证用户，你需要两个路由：一个用于将用户重定向到 OAuth 提供商，另一个用于在认证后接收提供商的回调。下面的示例路由演示了两个路由的实现：

use Laravel\Socialite\Socialite;

Route::get('/auth/redirect', function () {
    return Socialite::driver('github')->redirect();
});

Route::get('/auth/callback', function () {
    $user = Socialite::driver('github')->user();

    // $user->token
});

Socialite facade 提供的 redirect 方法负责将用户重定向到 OAuth 提供商，而 user 方法将检查传入的请求并在用户批准认证请求后从提供商检索用户信息。

认证与存储

从 OAuth 提供商检索到用户后，你可以确定该用户是否存在于应用的数据库中并认证该用户。如果该用户不存在于应用的数据库中，你通常会在数据库中创建一条新记录来表示该用户：

use App\Models\User;
use Illuminate\Support\Facades\Auth;
use Laravel\Socialite\Socialite;

Route::get('/auth/callback', function () {
    $githubUser = Socialite::driver('github')->user();

    $user = User::updateOrCreate([
        'github_id' => $githubUser->id,
    ], [
        'name' => $githubUser->name,
        'email' => $githubUser->email,
        'github_token' => $githubUser->token,
        'github_refresh_token' => $githubUser->refreshToken,
    ]);

    Auth::login($user);

    return redirect('/dashboard');
});

NOTE

有关特定 OAuth 提供商可用的用户信息的更多信息，请参阅检索用户详情的文档。

访问作用域

在重定向用户之前，你可以使用 scopes 方法指定认证请求中应包含的"作用域"。此方法会将所有先前指定的作用域与你指定的作用域合并：

use Laravel\Socialite\Socialite;

return Socialite::driver('github')
    ->scopes(['read:user', 'public_repo'])
    ->redirect();

你可以使用 setScopes 方法覆盖认证请求上的所有现有作用域：

return Socialite::driver('github')
    ->setScopes(['read:user', 'public_repo'])
    ->redirect();

Slack Bot 作用域

Slack 的 API 提供了不同类型的访问令牌，每种都有自己的权限作用域集。Socialite 兼容以下两种 Slack 访问令牌类型：

• Bot（以 xoxb- 为前缀）
• User（以 xoxp- 为前缀）

默认情况下，slack 驱动程序将生成 user 令牌，调用驱动程序的 user 方法将返回用户的详情。

如果你的应用需要向应用用户拥有的外部 Slack 工作区发送通知，Bot 令牌将特别有用。要生成 Bot 令牌，在将用户重定向到 Slack 进行认证之前调用 asBotUser 方法：

return Socialite::driver('slack')
    ->asBotUser()
    ->setScopes(['chat:write', 'chat:write.public', 'chat:write.customize'])
    ->redirect();

此外，在认证后 Slack 将用户重定向回应用时，你必须在调用 user 方法之前调用 asBotUser 方法：

$user = Socialite::driver('slack')->asBotUser()->user();

生成 Bot 令牌时，user 方法仍将返回 Laravel\Socialite\Two\User 实例；但是，只有 token 属性会被填充。此令牌可以被存储以便向已认证用户的 Slack 工作区发送通知。

可选参数

许多 OAuth 提供商在重定向请求中支持其他可选参数。要在请求中包含任何可选参数，请使用关联数组调用 with 方法：

use Laravel\Socialite\Socialite;

return Socialite::driver('google')
    ->with(['hd' => 'example.com'])
    ->redirect();

WARNING

使用 with 方法时，注意不要传递任何保留关键字，如 state 或 response_type。

检索用户详情

用户被重定向回应用的认证回调路由后，你可以使用 Socialite 的 user 方法检索用户的详情。user 方法返回的用户对象提供了各种属性和方法，你可以使用它们将用户信息存储到自己的数据库中。

根据你认证的 OAuth 提供商支持 OAuth 1.0 还是 OAuth 2.0，此对象上可用的属性和方法可能有所不同：

use Laravel\Socialite\Socialite;

Route::get('/auth/callback', function () {
    $user = Socialite::driver('github')->user();

    // OAuth 2.0 提供商...
    $token = $user->token;
    $refreshToken = $user->refreshToken;
    $expiresIn = $user->expiresIn;

    // OAuth 1.0 提供商...
    $token = $user->token;
    $tokenSecret = $user->tokenSecret;

    // 所有提供商...
    $user->getId();
    $user->getNickname();
    $user->getName();
    $user->getEmail();
    $user->getAvatar();
});

从令牌检索用户详情

如果你已拥有用户的有效访问令牌，可以使用 Socialite 的 userFromToken 方法检索其用户详情：

use Laravel\Socialite\Socialite;

$user = Socialite::driver('github')->userFromToken($token);

如果你通过 iOS 应用使用 Facebook Limited Login，Facebook 将返回 OIDC 令牌而非访问令牌。与访问令牌一样，OIDC 令牌可以提供给 userFromToken 方法以检索用户详情。

无状态认证

stateless 方法可用于禁用会话状态验证。这在向不使用基于 cookie 的会话的无状态 API 添加社交认证时非常有用：

use Laravel\Socialite\Socialite;

return Socialite::driver('google')->stateless()->user();

测试

Laravel Socialite 提供了一种便捷的方式来测试 OAuth 认证流程，而无需向 OAuth 提供商发出实际请求。fake 方法允许你模拟 OAuth 提供商的行为并定义应返回的用户数据。

伪造重定向

要测试应用是否正确将用户重定向到 OAuth 提供商，你可以在向重定向路由发出请求之前调用 fake 方法。这将导致 Socialite 返回到伪造授权 URL 的重定向，而不是重定向到实际的 OAuth 提供商：

use Laravel\Socialite\Socialite;

test('user is redirected to github', function () {
    Socialite::fake('github');

    $response = $this->get('/auth/github/redirect');

    $response->assertRedirect();
});

伪造回调

要测试应用的回调路由，你可以调用 fake 方法并提供一个 User 实例，当应用从提供商请求用户详情时将返回该实例。可以使用 map 方法创建 User 实例：

use Laravel\Socialite\Socialite;
use Laravel\Socialite\Two\User;

test('user can login with github', function () {
    Socialite::fake('github', (new User)->map([
        'id' => 'github-123',
        'name' => 'Jason Beggs',
        'email' => 'jason@example.com',
    ]));

    $response = $this->get('/auth/github/callback');

    $response->assertRedirect('/dashboard');

    $this->assertDatabaseHas('users', [
        'name' => 'Jason Beggs',
        'email' => 'jason@example.com',
        'github_id' => 'github-123',
    ]);
});

默认情况下，User 实例还将包含一个 token 属性。如果需要，你可以在 User 实例上手动指定其他属性：

$fakeUser = (new User)->map([
    'id' => 'github-123',
    'name' => 'Jason Beggs',
    'email' => 'jason@example.com',
])->setToken('fake-token')
  ->setRefreshToken('fake-refresh-token')
  ->setExpiresIn(3600)
  ->setApprovedScopes(['read', 'write'])