今天我们就以 Laravel Passport 为例,搭建一个SSO系统。...对于 Laravel 的认证系统,可以通过使用 Laravel Passport 这个包来构建一个基于 OAuth2 的单点登录(SSO)系统。...下面是一些大致的步骤:首先,在 Laravel 项目中安装 Laravel Passport 包,并按照官方文档进行配置。接着,需要创建一个专门用于授权的 Passport 客户端。...可以使用 Laravel 自带的 AuthController 类来处理此请求。在此控制器中,我们需要使用 Passport 提供的 issueToken 方法来颁发访问令牌。...当用户在一个应用程序中进行身份验证时,该系统将颁发一个访问令牌,并将其传递到其他应用程序中,使用户能够在这些应用程序中保持登录状态。
社区优秀文章 Laravel 5.5+passport 放弃 dingo 开发 API 实战,让 API 开发更省心 - 自造车轮。...API 文档神器 Swagger 介绍及在 PHP 项目中使用 - API 文档撰写方案 推荐 Laravel API 项目必须使用的 8 个扩展包 使用 Jwt-Auth 实现 API 用户认证以及无痛刷新访问令牌...讲讲我最近用 Laravel 做的一个 App 后端项目 Laravel Passport API 认证使用小结 关于 RESTful API 设计的总结 Laravel 5.5 使用 Passport...调试工具 DHC (aka Dev HTTP Client) Chrome 插件,简单易用,可分类管理,界面友好 Fiddler2 Windows 下抓包必备,捕捉每一次 REST 请求和响应的详细内容...角色列表; 资源推荐接口、活跃用户接口; 接口本地化处理; API 接口错误代码机制; APNS 消息推送服务器端介绍及实现; API 测试 —— 单元测试、集成测试、黑盒测试; 快速完成 API 文档; Passport
该模型有一些问题,如: 外部有效的令牌被深深地嵌入到调用栈中,因此需要一直向上游传播,可能会导致记录不合理的日志或导致潜在的管理问题。...在Netflix的流产品中使用了一些协议和令牌,概括如下: ? Netflix 的流生态系统会消费(有可能会更改)这些令牌,如: ?...EAS是运行在Zuul中的一系列过滤器,可能会调用外部服务来支持域(domain),如调用一个服务来处理MSL 令牌或Cookies的其他令牌。...在新的处理路径上,Zuul能够处理大量有效且未过期的令牌,边缘认证服务处理剩余的请求。 ?...API响应时间 API服务的响应时间有了很大提升,降低了30%的平均延迟,并使99%的延迟降低20%: ?
认真看过 Laravel Passport 文档 的人应该知道,它的 Personal Access Token 是不支持自定义过期时间的,tokensExpireIn 对此类 token 无效,原文如下...php //... use Laravel\Passport\Bridge\PersonalAccessGrant; use League\OAuth2\Server\AuthorizationServer
当前比较流程的是JWT 认证,也叫令牌认证,今天我们探讨一下在 Nest.js 中如何实现。...Passport 模块。...// 这意味着,如果我们的路由提供了一个过期的 JWT ,请求将被拒绝,并发送 401 未经授权的响应。...Passport 会自动为我们办理 ignoreExpiration: false, // 使用权宜的选项来提供对称的秘密来签署令牌 secretOrKey:...user) { throw new UnauthorizedException('token令牌非法,请重新登录'); } return payload; }
Private claims 这些是自定义的字段,可以用来在双方之间交换信息。 可用于JWT仅在已知系统(如企业内部)之间的封闭环境中进行交换的地方。...我们可以自定义自己的 claims,如user IDs, user roles, 或者其他任何信息。...我建议进行Laravel开发时使用 Laravel Homestead pre-packaged “box” of Vagrant (注:感觉是通过 Laravel 安装工具安装 Laravel)。...当我们向一个API 服务器( server),如 api.jwt.dev/v1/restricted发出POST请求时,我们正在进行跨域请求,并且必须在后端启用CORS。...还有很多关于JWT的内容,例如如何处理安全细节,以及在token过期时刷新令牌,但上述示例应演示使用JSON Web Token的基本用法,更重要的是显示优势。
Laravel Sanctum 为 SPA(单页应用程序)、移动应用程序和基于令牌的、简单的 API 提供轻量级身份验证系统。...方法: return $user->createToken('token-name', ['server:update'])->plainTextToken; 在处理由 Sanctum 验证的传入请求时,...$user->tokens()->where('id', $tokenId)->delete(); 令牌有效期 默认情况下,sanctum 的 token 无过期时限并且仅能通过撤销令牌来使它无效。...token 的过期时间,那您多半会希望能用任务调度自动删除过期了的 token 数据。...移动应用身份验证 测试 在测试时,Sanctum::actingAs 方法可用于验证用户并指定为其令牌授予哪些能力: use App\Models\User; use Laravel\Sanctum\Sanctum
当其他教程不再帮助你时,你或许可以看看这篇文章,这篇文章探讨了如何避免一些常见的身份验证陷阱。...与 Devise 相比,Passport 只是身份验证中间件,不会处理任何其他身份验证:这意味着 Node.js 开发人员可能会定制自己的 API 令牌机制、密码重置令牌机制、用户认证路由、端点、多种模板语言...但是,与其他教程相比,这篇教程相当实用,因为它使用 crypto.randomBytes 来生成真正的随机标记,如果不使用它们,则会过期。...让我们使用 JSON Web 令牌获取 API 凭据。拥有一个无状态的、可添加黑名单的、可自定义的令牌比十年来使用的旧 API 密钥/私密模式更好。...我喜欢在明文的密码中使用令牌。 现在,任何一个包括存储在 Mongoose 模型甚至过期的令牌都有你的密码。鉴于这个来自HTTP,我可以把它从线上找出来。 下一个教程怎么样呢?
本文重点介绍微服务架构如何影响应用程序级别的安全性。 应用程序开发人员主要负责实现安全性的四个不同方面: 身份验证:验证尝试访问应用程序的应用程序或人员(安全的术语叫主体)的身份。...我首先描述如何在 FTGO 单体应用程序中实现安全性。然后介绍在微服务架构中实现安全性所面临的挑战,以及为何在单体架构中运行良好的技术不能在微服务架构中使用。...API Gateway 向客户端返回访问令牌和刷新令牌。然后,API 客户端在向 API Gateway 发出请求时提供这两个令牌。 ?...如果访问令牌已经过期或即将过期,API Gateway 将通过发出 OAuth 2.0 刷新授权请求来获取新的访问令牌(www.oauth.com/oauth2-servers/access-tokens...如果刷新令牌尚未过期或未被撤消,则授权服务器将返回新的访问令牌。API Gateway 将新的访问令牌传递给服务并将其返回给客户端。 使用 OAuth 2.0 的一个重要好处是它是经过验证的安全标准。
本文重点介绍微服务架构如何影响应用程序级别的安全性。 应用程序开发人员主要负责实现安全性的四个不同方面: ■身份验证:验证尝试访问应用程序的应用程序或人员(安全的术语叫主体)的身份。...我首先描述如何在FTGO单体应用程序中实现安全性。然后介绍在微服务架构中实现安全性所面临的挑战,以及为何在单体架构中运行良好的技术不能在微服务架构中使用。之后,我将介绍如何在微服务架构中实现安全性。...基于 OAuth 2.0 的API Gateway可以使用OAuth 2.0访问令牌作为会话令牌来验证面向会话的客户端。而且,当访问令牌到期时,它可以使用刷新令牌获得新的访问令牌。...如果访问令牌已经过期或即将过期,API Gateway 将通过发出 OAuth 2.0 刷新授权请求来获取新的访问令牌(www.oauth.com/oauth2-servers/access-tokens...如果刷新令牌尚未过期或未被撤消,则授权服务器将返回新的访问令牌。API Gateway 将新的访问令牌传递给服务并将其返回给客户端。 使用 OAuth 2.0 的一个重要好处是它是经过验证的安全标准。
我们可以创建任意一条消息(如Please sign this message to connect to Foundation.),并且验证签名,以确保验证身份的钱包就是签署消息的钱包。...但是有一个问题,因为我们总是签名相同的消息,任何一个签名都是账户的永久密钥,永不过期。...我建议在 Node 上用passport-web3[5],如果你正在用 PHP 和 Laravel ,我建议用 and laravel-web3-login[6]。...-login/blob/ [5] passport-web3: https://github.com/coopermaruyama/passport-web3 [6] laravel-web3-login...: https://github.com/m1guelpf/laravel-web3-login [7] 私信我: https://twitter.com/m1guelpf
本文重点介绍微服务架构如何影响应用程序级别的安全性。 应用程序开发人员主要负责实现安全性的四个不同方面: 1、身份验证 验证尝试访问应用程序的应用程序或人员(安全的术语叫主体)的身份。...我首先描述如何在FTGO单体应用程序中实现安全性。然后介绍在微服务架构中实现安全性所面临的挑战,以及为何在单体架构中运行良好的技术不能在微服务架构中使用。之后,我将介绍如何在微服务架构中实现安全性。...基于 OAuth 2.0 的API Gateway可以使用OAuth 2.0访问令牌作为会话令牌来验证面向会话的客户端。而且,当访问令牌到期时,它可以使用刷新令牌获得新的访问令牌。...如果访问令牌已经过期或即将过期,API Gateway 将通过发出 OAuth 2.0 刷新授权请求来获取新的访问令牌(www.oauth.com/oauth2-servers/access-tokens...如果刷新令牌尚未过期或未被撤消,则授权服务器将返回新的访问令牌。API Gateway 将新的访问令牌传递给服务并将其返回给客户端。 使用 OAuth 2.0 的一个重要好处是它是经过验证的安全标准。
关于一致性的说明 使用一组约定(如REST)的最大优点是您的API将更容易消费和开发。...认证 在Laravel中有许多实现API身份验证的方法(其中之一是Passport,实现OAuth2的好方法),但在本文中,我们将采用一个非常简化的方法。...注销 使用我们当前的策略,如果令牌错误或丢失,用户应该收到未经身份验证的响应(我们将在下一节中实现)。因此,对于一个简单的注销端点,我们将发送令牌,它将在数据库上删除。...我们的第一个测试 我们可以使用Laravel的断言方法轻松击中一个端点并评估其响应。...绝对有改进的空间 - 您可以使用Passport软件包实现OAuth2 ,集成分页和转换层(我推荐使用Fractal),但是我想通过在Laravel中创建和测试API的基础知识外部包装。
Cookies 是一种存储机制,分享一套 181G视频的Java架构师课程,累计更新时长1000+个小时,然而 JWT Tokens 是被加密并签名后的令牌。...JWT坊间流传的优势 在人们安利 JWT 时,常常宣扬以下几点好处: 易于水平扩展 易于使用 更加灵活 更加安全 内置过期时间功能 无需询问用户「本网站使用 Cookies」 防止 CSRF 攻击 更适用于移动端...根据 JWT 的设计,无论怎样 Tokens 在过期前将会一直保持有效。举个例子,这意味着在检测到攻击时,你却不能销毁攻击者的 Session。...译者注:实际上,Laravel Passport 便是使用类似「有状态 JWT」的方式来存储 OAuth Access Token。...该主张依旧成立,JWT 特别有效的使用例子通常是作为一次性的授权令牌。
本文旨在揭开这些概念的神秘面纱,并就如何在 Laravel 应用程序和 MySQL 中以合理的方式处理日期和时区给出一些建议和最佳实践。...1970-01-01 00:00:00 = 3h = 3 60 60 = 10800+02:00 in seconds is: 2 60 60 = 720010800 – 7200 = 3600例如,...您存储的字符串在检索时不会改变。...假设我们最初保存的日期是令牌的创建日期,而生成令牌后已经过去了 30 分钟。我们现在希望查看令牌是否过期。...:2023-10-13 16:00:00令牌的有效期应为 1 小时,因此我们将创建日期减去当前时间,得到 1.5 小时的差值,这似乎表明令牌已过期。
Cookies 是一种存储机制,然而 JWT Tokens 是被加密并签名后的令牌。 它们并不对立 —— 相反,他们可以独立或结合使用。...内置过期时间功能? 无意义,又没什么卵用的特性。在服务端也能实现过期控制,有不少 Session 实现就是这么做的。...根据 JWT 的设计,无论怎样 Tokens 在过期前将会一直保持有效。举个例子,这意味着在检测到攻击时,你却不能销毁攻击者的 Session。...译者注:实际上,Laravel Passport 便是使用类似「有状态 JWT」的方式来存储 OAuth Access Token。...该主张依旧成立,JWT 特别有效的使用例子通常是作为一次性的授权令牌。
对于 Laravel 5.5 或以上版本 ,运行下面的命令来生成密钥以便用于签发令牌。...用户注册时需要姓名,邮箱和密码。那么,让我们创建一个表单请求来验证数据。...在 logout 方法中,验证请求是否包含令牌验证。通过调用 invalidate 方法使令牌无效,并返回一个成功的响应。如果捕获到 JWTException 异常,则返回一个失败的响应。...Laravel 将自动将其转换为 JSON ,并创建一个为 200 成功的响应码。 继续实现 show 方法。...如果,产品成功的写入数据库,会返回成功响应,否则返回自定义的 500 失败响应。
| 指定 access_token 有效的时间长度(以分钟为单位),默认为1小时,您也可以将其设置为空,以产生永不过期的标记 */ 'ttl' => env('JWT_TTL...| |指定在刷新令牌时要保留的声明密钥。...用户注册时需要姓名,邮箱和密码。那么,让我们创建一个表单请求来验证数据。...八、自定义Dingo Api 响应格式 1.新建Json.php文件,App\Components\Response\Format\Json.php, 代码示例如下: 主要思路就是继承Dingo\Api...this->options['indent_style'] ); } return $encodedString; } } 注意:由于自定义了响应返回
引入 Laravel 框架或其组件时,应始终使用版本约束,如 ^7.0,因为 Laravel 的主要版本确实包含非兼容性更改。我们会努力确保您可以在一天或更短的时间内更新到最新版本。...Laravel Sanctum 为 SPA (单页应用程序),移动应用程序和基于令牌的简单 API 提供了轻巧的身份验证系统。 Sanctum 允许应用程序的每个用户生成多个 API 令牌。...这些令牌可以被授予能力/作用域,用于指定允许令牌执行哪些动作。 有关 Laravel Sanctum 的更多信息, 请查看 Sanctum 文档。...Heuvel 编写的受欢迎的 Laravel CORS 软件包,为配置跨域资源共享(CORS) OPTIONS 请求响应提供了官方支持, 默认的 Laravel 应用程序框架 中包含一个新的 cors ...有关 Laravel 7.x 中的 CORS 支持的更多信息,请查阅CORS文档。 查询时类型转换 查询时类型转换由 Matt Barlow 开发贡献.
本文旨在揭开这些概念的神秘面纱,并就如何在 Laravel 应用程序和 MySQL 中以合理的方式处理日期和时区给出一些建议和最佳实践。...您存储的字符串在检索时不会改变。...假设我们最初保存的日期是令牌的创建日期,而生成令牌后已经过去了 30 分钟。我们现在希望查看令牌是否过期。...:2023-10-13 16:00:00 令牌的有效期应为 1 小时,因此我们将创建日期减去当前时间,得到 1.5 小时的差值,这似乎表明令牌已过期。...您还需要考虑夏令时。
云服务器
ICP备案
云直播
即时通信 IM
实时音视频
