[PHP|Laravel] Tworzenie bezpiecznych API z użyciem Laravel Passport

Tworzenie bezpiecznych i skalowalnych API jest niezwykle istotne w dzisiejszych czasach. W tym artykule skupimy się na wykorzystaniu Laravel Passport, który jest oficjalnym rozszerzeniem Laravela, do tworzenia API z uwierzytelnianiem opartym na tokenach. Przeanalizujemy konfigurację, generowanie tokenów, zarządzanie klientami i zasobami, a także najlepsze praktyki dotyczące tworzenia bezpiecznych API w Laravelu.

Konfiguracja Laravel Passport

Aby rozpocząć pracę z Laravel Passport, musimy najpierw zainstalować i skonfigurować go w naszej aplikacji. Możemy to zrobić za pomocą Composer-a, wpisując poniższą komendę w terminalu: 

composer require laravel/passport

Po zainstalowaniu pakietu Laravel Passport, możemy przejść do konfiguracji. W pliku config/app.php musimy dodać PassportServiceProvider do listy dostawców usług:

'providers' => [
    // Inne dostawcy usług
    Laravel\Passport\PassportServiceProvider::class,
],

Następnie, wykonajmy migracje, aby utworzyć niezbędne tabele w bazie danych: php artisan migrate

Generowanie tokenów dostępu

Laravel Passport umożliwia generowanie różnych rodzajów tokenów dostępu, które możemy wykorzystać w naszym API. Oto kilka przykładów:

Generowanie Personal Access Tokens

Personal Access Tokens są przydatne, gdy chcemy umożliwić użytkownikom dostęp do naszego API bez konieczności wprowadzania danych uwierzytelniających za każdym razem. Możemy je wygenerować za pomocą poniższej komendy: php artisan passport:install

Generowanie Password Grant Tokens

Password Grant Tokens pozwalają użytkownikom na uzyskanie tokena dostępu, wprowadzając swoje dane uwierzytelniające (login i hasło). Aby to zrealizować, musimy utworzyć odpowiednią trasę w pliku `routes/api.php`:

Route::post('/login', 'AuthController@login');

Następnie, w kontrolerze `AuthController`, możemy wykorzystać Passport do generowania tokenów dostępu:

public function login(Request $request)
{
    $credentials = $request->only('email', 'password');

    if (Auth::attempt($credentials)) {
        $user = Auth::user();
        $token = $user->createToken('MyApp')->accessToken;

        return response()->json(['token' => $token], 200);
    } else {
        return response()->json(['error' => 'Invalid credentials'], 401);
    }
}

Generowanie Implicit Grant Tokens

Implicit Grant Tokens są przydatne w przypadku, gdy chcemy umożliwić użytkownikom autoryzację za pomocą protokołu OAuth2, a nie wymagać od nich wprowadzania swoich danych uwierzytelniających. Aby zaimplementować Implicit Grant Tokens, musimy utworzyć odpowiednią trasę w pliku `routes/api.php`:

Route::get('/redirect', 'AuthController@redirect');
Route::get('/callback', 'AuthController@callback');

Następnie, w kontrolerze AuthController, możemy przekierować użytkownika do strony uwierzytelniającej i obsłużyć zwrotne przekierowanie:

public function redirect()
{
    $redirectUrl = Passport::redirectUrl();
    $state = Str::random(40);

    session(['state' => $state]);

    $query = http_build_query([
        'client_id' => config('passport.client_id'),
        'redirect_uri' => $redirectUrl,
        'response_type' => 'token',
        'scope' => '',
        'state' => $state,
    ]);

    return redirect(config('passport.authorization_endpoint').'?'.$query);
}

public function callback(Request $request)
{
    $state = $request->session()->pull('state');

    if ($state !== $request->input('state')) {
        return response()->json(['error' => 'Invalid state'], 401);
    }

    $token = $request->input('access_token');

    return response()->json(['token' => $token], 200);
}

Zarządzanie klientami i zasobami

Aby umożliwić klientom dostęp do naszego API, musimy zarejestrować ich w Laravel Passport. Możemy to zrobić za pomocą interfejsu wiersza poleceń lub za pomocą kodu. Oto przykład rejestracji klienta za pomocą interfejsu wiersza poleceń:

Aby utworzyć nowego klienta wywołaj polecenie: php artisan passport:client --client.

Podaj nazwę klienta i wybierz odpowiednią opcję uwierzytelniania (np. "password" dla Password Grant Tokens). Po zakończeniu procesu rejestracji, otrzymasz ID klienta i sekret, które będziesz musiał przechowywać w bezpiecznym miejscu.

Aby przypisać zasoby do klienta, możemy edytować plik app/Providers/AuthServiceProvider.php. Dodajmy metodę boot i zdefiniujmy zasoby, do których klient ma mieć dostęp:

use Laravel\Passport\Passport;

public function boot()
{
    $this->registerPolicies();

    Passport::routes();

    Passport::tokensCan([
        'read' => 'Read access to resources',
        'write' => 'Write access to resources',
    ]);
}

Teraz, przy każdym żądaniu dostępu do API, musimy uwierzytelnić klienta i sprawdzić, czy ma uprawnienia do żądanych zasobów. Możemy to zrobić za pomocą Passport middleware. Dodajmy middleware client do odpowiednich tras w pliku routes/api.php:

Route::middleware('client')->group(function () {
    // Trasy API, do których dostęp mają tylko uwierzytelnieni klienci
});

Uwierzytelnianie i autoryzacja w API

Po skonfigurowaniu Laravel Passport i zarejestrowaniu klientów oraz zasobów, możemy przejść do uwierzytelniania i autoryzacji w naszym API. Wykorzystamy Passport middleware, aby to osiągnąć.

Przykład uwierzytelniania opartego na tokenach:

use Illuminate\Http\Request;

public function index(Request $request)
{
    $user = $request->user();
    // Wykonaj operacje na zasobach dostępnych dla uwierzytelnionego użytkownika
}

Przykład uwierzytelniania opartego na OAuth2:

use Illuminate\Http\Request;

public function index(Request $request)
{
    $client = $request->user();
    // Wykonaj operacje na zasobach dostępnych dla uwierzytelnionego klienta OAuth2
}

Należy również pamiętać, że uwierzytelnianie i autoryzacja to proces ciągły. Ważne jest, aby regularnie aktualizować i audytować nasze API w celu zapewnienia ochrony przed zagrożeniami.

Kilka słów na koniec

W tym artykule omówiliśmy, jak tworzyć bezpieczne i skalowalne API z użyciem Laravel Passport. Przeanalizowaliśmy proces konfiguracji, generowania tokenów dostępu, zarządzania klientami i zasobami, a także uwierzytelniania i autoryzacji w naszym API.

Laravel Passport to potężne narzędzie, które umożliwia nam szybkie i bezpieczne tworzenie API. Pamiętaj, że bezpieczeństwo to proces ciągły, dlatego warto regularnie aktualizować i audytować nasze API w celu zapewnienia ochrony przed zagrożeniami.

Komentarze

Prześlij komentarz

Dzięki za komentarz!

Popular

[HTML] Jak wstawić obrazek?

Cześć! Jesteś tu zapewne dlatego, bo nie wiesz jak wstawić zdjęcie na stronę. W tym wpisie nauczysz się wstawiać obrazek na stronę www zarówno jako tylko obrazek, ale też obrazek jako klikalny odnośnik. Przejdźmy zatem do nauki... Wstawianie obrazka Do wstawiania grafiki na stronę służy znacznik img z atrybutami src oraz alt . Atrybutem wymaganym jest src - adres źródłowy (adres grafiki, którą chcemy wstawić na stronę). Atrybut alt - zawiera tekst alternatywny, który zostanie wyświetlony, gdy wczytanie obrazka się nie powiedzie. Podsumowując, aby wstawić zdjęcie piszemy następujący fragment kodu: <img src="images/flower.jpg" alt="Kwiatek" /> Link z obrazkiem A teraz połączenie odnośnika z obrazkiem, czyli zastąpienie tekstu w linku zdjęciem: <a href="https://www.ukodowani.pl"><img src="images/banner.jpg" alt="ukodowani.pl" /></a> Możesz również ustawić zdjęcie jako tło . Jeśli chcesz dowiedzieć się j
Czytaj więcej

[C++] Jak obliczyć pole i obwód trapezu?

Przed napisaniem programu obliczającego pole i obwód trapezu, przypomnij sobie wzory. Pole trapezu liczymy według wzoru P=((a+b)*h)/2. Wzór na obwód Ob=a+b+c+d. Obliczając pole trapezu musimy znać rozmiary dwóch podstaw i wysokości. Obliczamy pole trapezu #include <iostream> using namespace std; int main() { int a; int b; int h; double p; cout << "Podaj długość podstawy a: "; cin >> a; cout << "Podaj długość podstawy b: "; cin >> b; cout << "Podaj wysokość: "; cin >> h; if(cin.good() == true) { p = ((a + b) * h) / 2.0; cout << "Pole trapezu wynosi: " << p; } return 0; } Obliczamy obwód trapezu #include <iostream> using namespace std; int main() { int a, b, c, d, ob; cout << "Podaj długość boku a: "; cin >> a; cout << "Podaj długość boku b: "; cin >> b; cout << "Podaj długość boku c: "; cin >> c;
Czytaj więcej

[JavaScript|Node.js] Generowanie kodów QR w Node.js z użyciem biblioteki qrcode

Kody QR (Quick Response) są popularnymi narzędziami w dzisiejszym cyfrowym świecie. Są one wykorzystywane do przechowywania różnych rodzajów informacji, takich jak adresy URL, dane kontaktowe, numery telefonów i wiele więcej. W tym artykule dowiesz się, jak wygenerować kody QR za pomocą biblioteki qrcode w Node.js. Instalacja biblioteki qrcode Pierwszym krokiem jest zainstalowanie biblioteki qrcode , która umożliwia generowanie kodów QR w Node.js. Można to zrobić, uruchamiając polecenie `npm install qrcode` w swoim katalogu projektu. Po zainstalowaniu biblioteki możemy przejść do kodowania. Przykład użycia const qrcode = require('qrcode'); // Dane wejściowe const inputData = 'https://www.example.com'; // Generowanie kodu QR qrcode.toDataURL(inputData, function (err, url) { if (err) throw err; // Wyświetlanie kodu QR w konsoli console.log(url); // Zapisywanie kodu QR jako plik obrazu const fs = require('fs'); fs.writeFileSync('qrcode.png&#
Czytaj więcej