The Best Fluffy Pancakes recipe you will fall in love with. Full of tips and tricks to help you make the best pancakes.

laravel passport 資料表關聯筆記

記憶點

  • 安裝好套件後,會產生對應資料表,但都沒資料,需要執行php artisan passport:client --password來在oauth_clients建立一筆可以使用的secret
  • oauth_clients.passord_client 欄位需要是1,grant type=password 的才能使用該secret
  • oauth_clients.provider 的值對應了使用者資料表,基本上應該會寫users
  • clinet_id、client_secret 為 oauth_clients.id、oauth_clients.secret,
    username、password 為 users表中的 email、password
  • 不同使用者可以共用同一個secret
  • 使用 後端代理請求 的做法,前端(使用者)只需要輸入帳號密碼,後端以此帳密加上已經設定好的secret取得token後回傳給使用者,如此secret便不會暴露出來,使用者也能順利取得token

Laravel Passport 的 OAuth 資料表

Laravel Passport 在安裝並運行 php artisan migrate 後,會生成以下主要的 OAuth 資料表:

  1. oauth_clients
  2. oauth_access_tokens
  3. oauth_refresh_tokens
  4. oauth_auth_codes
  5. oauth_personal_access_clients
  6. oauth_scopes

1. oauth_clients

用途:存儲所有的 OAuth 客戶端應用程式資訊。

主要欄位

  • id:主鍵。
  • user_id:關聯的使用者 ID(如果有)。
  • name:客戶端名稱。
  • secret:客戶端密鑰,用於驗證客戶端身份。
  • redirect:重定向 URI,用於授權碼授權流程。
  • personal_access_client:是否為個人訪問客戶端。
  • password_client:是否為密碼授權客戶端。
  • revoked:是否被撤銷。

2. oauth_access_tokens

用途:存儲所有發放的訪問令牌(Access Tokens)。

主要欄位

  • id:主鍵。
  • user_id:擁有此令牌的使用者 ID。
  • client_id:發行此令牌的客戶端 ID。
  • name:令牌名稱。
  • scopes:授權範圍。
  • revoked:是否被撤銷。
  • expires_at:令牌過期時間。

3. oauth_refresh_tokens

用途:存儲所有發放的刷新令牌(Refresh Tokens)。

主要欄位

  • id:主鍵。
  • access_token_id:關聯的訪問令牌 ID。
  • revoked:是否被撤銷。
  • expires_at:刷新令牌過期時間。

4. oauth_auth_codes

用途:存儲授權碼,用於授權碼授權流程。

主要欄位

  • id:主鍵。
  • user_id:擁有此授權碼的使用者 ID。
  • client_id:關聯的客戶端 ID。
  • scopes:授權範圍。
  • revoked:是否被撤銷。
  • expires_at:授權碼過期時間。
  • redirect_uri:重定向 URI。

5. oauth_personal_access_clients

用途:存儲個人訪問客戶端,用於生成個人訪問令牌。

主要欄位

  • id:主鍵。
  • client_id:關聯的客戶端 ID。
  • created_atupdated_at:時間戳記。

6. oauth_scopes

用途:定義可用的授權範圍(Scopes)。

主要欄位

  • id:主鍵。
  • description:範圍描述。

資料表之間的關係

  • oauth_clientsoauth_access_tokens:一對多關係,一個客戶端可以發行多個訪問令牌。
  • oauth_access_tokensoauth_refresh_tokens:一對一關係,一個訪問令牌對應一個刷新令牌。
  • oauth_clientsoauth_auth_codes:一對多關係,一個客戶端可以生成多個授權碼。
  • oauth_clientsoauth_personal_access_clients:一對一關係,一個客戶端可以是個人訪問客戶端。
  • oauth_scopesoauth_access_tokens/oauth_auth_codes:多對多關係,一個範圍可以被多個令牌或授權碼使用。

建立 OAuth 客戶端

Laravel Passport 提供了 Artisan 命令來創建不同類型的 OAuth 客戶端。根據你的應用需求,可以創建以下幾種類型的客戶端:

  1. 授權碼客戶端(Authorization Code Client)
  2. 密碼授權客戶端(Password Grant Client)
  3. 個人訪問客戶端(Personal Access Client)

1. 創建授權碼客戶端

這種客戶端適用於需要使用授權碼授權流程的應用,例如第三方應用。

bash複製程式碼php artisan passport:client

執行後,會提示輸入客戶端名稱和重定向 URI。例如:

less複製程式碼Enter a name for the client: My Authorization Code Client
Enter the redirect URL: https://myapp.com/callback

2. 創建密碼授權客戶端

適用於需要用戶直接通過應用提供的憑證(如用戶名和密碼)獲取令牌的情況,常用於移動應用或單頁應用(SPA)。

php artisan passport:client --password

獲取訪問令牌(Access Token)

取得訪問令牌的方式取決於使用的授權類型。以下介紹幾種常見的授權類型及其獲取令牌的方法。

1. 密碼授權流程(Password Grant)

適用於信任的應用,如官方的移動應用或單頁應用。

步驟:

  1. 創建密碼授權客戶端如上所述,使用 php artisan passport:client --password 創建。
  2. 發送請求獲取令牌使用 HTTP POST 請求向 /oauth/token 端點發送請求,包含以下參數:
    • grant_type: 固定為 password
    • client_id: 密碼授權客戶端的 ID
    • client_secret: 密碼授權客戶端的密鑰
    • username: 用戶名(通常是 email)
    • password: 用戶密碼
    • scope: 可選,指定授權範圍

示例請求:

http複製程式碼POST /oauth/token HTTP/1.1
Host: your-app.com
Content-Type: application/json

{
    "grant_type": "password",
    "client_id": "client-id-here",
    "client_secret": "client-secret-here",
    "username": "user@example.com",
    "password": "user-password",
    "scope": ""
}

示例響應:

json複製程式碼{
    "token_type": "Bearer",
    "expires_in": 31536000,
    "access_token": "access-token-here",
    "refresh_token": "refresh-token-here"
}

2. 授權碼授權流程(Authorization Code Grant)

適用於第三方應用,通過重定向用戶到授權服務器以獲取授權碼,再交換令牌。

步驟:

  1. 引導用戶授權將用戶重定向到以下 URL,讓用戶授權應用:perl複製程式碼https://your-app.com/oauth/authorize?response_type=code&client_id=client-id-here&redirect_uri=https://your-app.com/callback&scope=&state=optional-state
  2. 用戶授權後,獲取授權碼用戶同意後,會重定向到 redirect_uri 並帶上 code 參數。
  3. 交換授權碼獲取令牌使用 HTTP POST 請求向 /oauth/token 端點發送請求,包含以下參數:
    • grant_type: 固定為 authorization_code
    • client_id: 授權碼客戶端的 ID
    • client_secret: 授權碼客戶端的密鑰
    • redirect_uri: 重定向 URI,需與創建客戶端時相同
    • code: 授權碼

示例請求:

http複製程式碼POST /oauth/token HTTP/1.1
Host: your-app.com
Content-Type: application/json

{
    "grant_type": "authorization_code",
    "client_id": "client-id-here",
    "client_secret": "client-secret-here",
    "redirect_uri": "https://your-app.com/callback",
    "code": "authorization-code-here"
}

示例響應:

json複製程式碼{
    "token_type": "Bearer",
    "expires_in": 31536000,
    "access_token": "access-token-here",
    "refresh_token": "refresh-token-here"
}

3. 客戶端憑證授權流程(Client Credentials Grant)

適用於機器對機器的應用,不涉及用戶。

步驟:

  1. 創建客戶端憑證客戶端使用 php artisan passport:client --client 創建。
  2. 發送請求獲取令牌使用 HTTP POST 請求向 /oauth/token 端點發送請求,包含以下參數:
    • grant_type: 固定為 client_credentials
    • client_id: 客戶端 ID
    • client_secret: 客戶端密鑰
    • scope: 可選,指定授權範圍

示例請求:

http複製程式碼POST /oauth/token HTTP/1.1
Host: your-app.com
Content-Type: application/json

{
    "grant_type": "client_credentials",
    "client_id": "client-id-here",
    "client_secret": "client-secret-here",
    "scope": ""
}

示例響應:

json複製程式碼{
    "token_type": "Bearer",
    "expires_in": 31536000,
    "access_token": "access-token-here"
}

4. 個人訪問授權流程(Personal Access Grant)

適用於為特定用戶生成長期有效的個人訪問令牌,通常用於個人 API 調試或工具。

步驟:

  1. 創建個人訪問客戶端如上所述,使用 php artisan passport:personal-client 創建。
  2. 發送請求獲取個人訪問令牌使用 HTTP POST 請求向 /oauth/token 端點發送請求,包含以下參數:
    • grant_type: 固定為 personal_access
    • client_id: 個人訪問客戶端的 ID
    • client_secret: 個人訪問客戶端的密鑰
    • username: 用戶名(通常是 email)
    • password: 用戶密碼
    • scope: 可選,指定授權範圍

示例請求:

http複製程式碼POST /oauth/token HTTP/1.1
Host: your-app.com
Content-Type: application/json

{
    "grant_type": "password",
    "client_id": "personal-client-id",
    "client_secret": "personal-client-secret",
    "username": "user@example.com",
    "password": "user-password",
    "scope": ""
}

示例響應:

json複製程式碼{
    "token_type": "Bearer",
    "expires_in": 31536000,
    "access_token": "personal-access-token-here",
    "refresh_token": "refresh-token-here"
}

使用取得的訪問令牌

獲取訪問令牌後,需在後續 API 請求中將其包含在 Authorization 標頭中,以便通過 Passport 的身份驗證和授權機制。

示例:

http複製程式碼GET /api/posts HTTP/1.1
Host: your-app.com
Authorization: Bearer access-token-here

在前端應用中使用訪問令牌

假設你使用 JavaScript 的 fetch API 來發送請求,可以這樣做:

javascript複製程式碼fetch('https://your-app.com/api/posts', {
    method: 'GET',
    headers: {
        'Authorization': `Bearer ${accessToken}`,
        'Content-Type': 'application/json'
    }
})
.then(response => response.json())
.then(data => console.log(data))
.catch(error => console.error('Error:', error));

刷新訪問令牌(Refresh Token)

訪問令牌通常有有效期限,當訪問令牌過期時,可以使用刷新令牌獲取新的訪問令牌,而無需用戶重新登入。

步驟:

  1. 發送請求使用刷新令牌獲取新令牌使用 HTTP POST 請求向 /oauth/token 端點發送請求,包含以下參數:
    • grant_type: 固定為 refresh_token
    • refresh_token: 刷新令牌
    • client_id: 客戶端 ID
    • client_secret: 客戶端密鑰
    • scope: 可選,指定授權範圍

示例請求:

http複製程式碼POST /oauth/token HTTP/1.1
Host: your-app.com
Content-Type: application/json

{
    "grant_type": "refresh_token",
    "refresh_token": "refresh-token-here",
    "client_id": "client-id-here",
    "client_secret": "client-secret-here",
    "scope": ""
}

示例響應:

json複製程式碼{
    "token_type": "Bearer",
    "expires_in": 31536000,
    "access_token": "new-access-token-here",
    "refresh_token": "new-refresh-token-here"
}

在應用中實現刷新令牌

當你收到 401 未授權錯誤時,可以自動觸發刷新令牌流程。例如,使用 Axios 的攔截器:

javascript複製程式碼import axios from 'axios';

const api = axios.create({
    baseURL: 'https://your-app.com/api',
    headers: {
        'Authorization': `Bearer ${accessToken}`,
        'Content-Type': 'application/json'
    }
});

// 攔截器處理 401 錯誤並嘗試刷新令牌
api.interceptors.response.use(
    response => response,
    async error => {
        if (error.response.status === 401) {
            // 發送刷新令牌請求
            const refreshToken = localStorage.getItem('refresh_token');
            const response = await axios.post('https://your-app.com/oauth/token', {
                grant_type: 'refresh_token',
                refresh_token: refreshToken,
                client_id: 'client-id-here',
                client_secret: 'client-secret-here',
                scope: ''
            });

            const newAccessToken = response.data.access_token;
            const newRefreshToken = response.data.refresh_token;

            // 更新存儲的令牌
            localStorage.setItem('access_token', newAccessToken);
            localStorage.setItem('refresh_token', newRefreshToken);

            // 更新請求頭並重試原始請求
            error.config.headers['Authorization'] = `Bearer ${newAccessToken}`;
            return axios(error.config);
        }
        return Promise.reject(error);
    }
);

export default api;

總結

Laravel Passport 的 OAuth 資料表關係總結:

  • oauth_clients:管理所有 OAuth 客戶端應用。
  • oauth_access_tokens:存儲訪問令牌,與客戶端和用戶相關聯。
  • oauth_refresh_tokens:存儲刷新令牌,與訪問令牌相關聯。
  • oauth_auth_codes:存儲授權碼,與客戶端和用戶相關聯。
  • oauth_personal_access_clients:管理個人訪問客戶端。
  • oauth_scopes:定義授權範圍,與令牌和授權碼相關聯。

建立客戶端和獲取令牌的通用流程:

  1. 創建合適的 OAuth 客戶端(授權碼、密碼授權、客戶端憑證或個人訪問)。
  2. 根據授權類型,通過對應的流程(密碼授權、授權碼授權等)獲取訪問令牌
  3. 在 API 請求中包含訪問令牌,通過 Authorization: Bearer {access_token} 標頭進行身份驗證
  4. 當訪問令牌過期時,使用刷新令牌獲取新的訪問令牌,保持用戶的會話有效

後端代理請求

  • 流程概述: 前端應用不需要直接處理 client_secret。相反,前端將使用者的認證資料(例如:使用者名稱和密碼)發送到你的後端伺服器,後端伺服器再代表前端處理與 OAuth 伺服器之間的所有安全交換,包括傳遞 client_secret
  • 步驟:
    1. 前端應用(如單頁應用或手機應用)向你的後端發送認證資料,例如使用者的 email 和密碼。
    2. 後端應用接收這些認證資料,然後將 client_idclient_secret 與這些資料一起發送到 /oauth/token 端點以交換 access_token
    3. 後端將獲取的 access_token 返回給前端。

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

目前趨勢

Slow Cooker Beef Bourguignon
Topping Marzipan Tart Cheesecake Sweet Lollipop
Blueberry Buttermilk Pancakes
怎麼把原有的程式頭尾加上想要執行的步驟,但又不影響原本的命名或是執行