web-dev-qa-db-fra.com

Comment activer à la fois l'API et Web Guard dans laravel

Laravel 5.7

PHP 7.2.10

Actuellement, je peux utiliser n'importe lequel des protecteurs Web et API, existe-t-il un moyen d'autoriser les deux, de sorte que l'application Web et l'API fonctionnent ensemble.

Quelque chose comme

return [

    /*
    |--------------------------------------------------------------------------
    | Authentication Defaults
    |--------------------------------------------------------------------------
    |
    | This option controls the default authentication "guard" and password
    | reset options for your application. You may change these defaults
    | as required, but they're a perfect start for most applications.
    |
    */

    'defaults' => [
        'guard' => 'api|web',
        'passwords' => 'users',
    ],

sans utiliser de schéma, ici est une solution/solution de contournement qui nécessite des changements de schéma, ce que je ne préférerai pas. De plus, je n'ai pas besoin de jeton d'accès pour l'inscription, ce que fait cette réponse.

api.php

Route::group([
    'middleware' => 'api|web',
    'prefix' => 'auth'
], function ($router) {

   Route::post('register', 'Auth\AuthController@register')->name('api.register');
    Route::post('forgot-password', 'Auth\ForgotPasswordController@forgotPassword')->name('api.forgot-password');
    Route::post('login', 'Auth\AuthController@login')->name('api.login');
    Route::middleware('auth')->post('logout', 'Auth\AuthController@logout')->name('api.logout');

web.php

Auth::routes(['verify' => true]);
Route::prefix('admin')->group(function () {
 Route::middleware('auth', 'permission:super-admin|association-member')->resource('users', 'Auth\UserController');
});

config/auth.php

return [

    /*
    |--------------------------------------------------------------------------
    | Authentication Defaults
    |--------------------------------------------------------------------------
    |
    | This option controls the default authentication "guard" and password
    | reset options for your application. You may change these defaults
    | as required, but they're a perfect start for most applications.
    |
    */

    'defaults' => [
        'guard' => 'web', //api
        'passwords' => 'users',
    ],

    /*
    |--------------------------------------------------------------------------
    | Authentication Guards
    |--------------------------------------------------------------------------
    |
    | Next, you may define every authentication guard for your application.
    | Of course, a great default configuration has been defined for you
    | here which uses session storage and the Eloquent user provider.
    |
    | All authentication drivers have a user provider. This defines how the
    | users are actually retrieved out of your database or other storage
    | mechanisms used by this application to persist your user's data.
    |
    | Supported: "session", "token"
    |
    */

    'guards' => [
        'web' => [
            'driver' => 'session',
            'provider' => 'users',
        ],

        'api' => [
            'driver' => 'jwt',
            'provider' => 'users',
        ],
    ],

Mise à jour Comme l'a dit @apokryfos, If you want both to work for both then yes. However, I think that's bad practice. API routes should only allow API authentication since web authentication usually uses the session which API routes don't use anyway. If I were you I'd take a step back and rethink my entire strategy.

Moi aussi, je ne veux pas que les deux fonctionnent pour les deux, je veux juste faire fonctionner à la fois l'api et l'application web en parallèle, maintenant je peux utiliser n'importe lequel d'entre eux.

Update2 Comme @Lim Kean Phang a suggéré le lien de problème git

J'ai changé

  protected function respondWithToken($token)
    {
        return response()->json([
            'access_token' => $token,
            'token_type' => 'bearer',
            'expires_in' =>  auth('api')->factory()->getTTL() * 60,//auth()->factory()->getTTL() * 60,
            'status' => 200,
            "response" => "Successfully login",
        ]);
    }

La valeur expires_in, mais maintenant je ne reçois pas le jeton d'accès.

La réponse api est

{
    "access_token": true,
    "token_type": "bearer",
    "expires_in": 31536000,
    "status": 200,
    "response": "Successfully login"
}

Mise à jour 3 Ajout d'un problème github car il n'a pu trouver aucune solution possible pour le faire fonctionner.

6
Prafulla Kumar Sahu

Je viens de rencontrer ce problème moi-même et de poster ma réponse au cas où quelqu'un le trouverait utile.

Dans mon cas, j'ai besoin que mon API soit accessible à la fois par mon site Web et par des clients externes. Le site Web utilise la garde session, car le navigateur inclut automatiquement tout cookie de session avec chaque demande. Les autres clients utilisent la garde api avec le pilote token, car ils ne gèrent pas les cookies, mais utilisent le token_id champ dans la table des utilisateurs.

// contig/auth.php
'guards' => [
    'web' => [
        'driver' => 'session',
        'provider' => 'users',
    ],
    'api' => [
        'driver' => 'token',
        'provider' => 'users',
    ],
],

Maintenant, je peux protéger mes itinéraires comme ceci:

// routes/api.php
Route::group(['middleware' => ['auth:web,api']], function () {
    Route::get('/abc', 'MyController@abc');
});

Noter la web,api syntaxe prise en charge par Laravel, mais non documentée. J'ai réalisé que c'était possible en analysant le code source de Laravel.

0
Merlevede