为什么要做隔离
当同一个laravel项目有多端(移动端、管理端......)都需要使用jwt做用户验证时,如果用户表有多个(一般都会有),就需要做token隔离,不然会发生移动端的token也能请求管理端的问题,造成用户越权。
会引发这个问题的原因是laravel的jwt token默认只会存储数据表的主键的值,并没有区分是那个表的。所以只要token里携带的ID在你的用户表中都存在,就会导致越权验证。
我们来看看laravel的jwt token 的原貌:
1
2
3
4
5
6
7
8
9
|
{
"iss" : "http://your-request-url" ,
"iat" : 1558668215,
"exp" : 1645068215,
"nbf" : 1558668215,
"jti" : "XakIDuG7K0jeWGDi" ,
"sub" : 1,
"prv" : "92d5e8eb1b38ccd11476896c19b0e44512b2aacd"
}
|
携带数据的是sub字段,其他字段是jwt的验证字段。
我们只看到sub的值为1,并没有说明是那个表或是哪个验证器的。这个token通过你的验证中间件时,你使用不同的guard就能拿到对应表id为1的用户(了解guard请查看laravel的文档)。
解决办法
想要解决用户越权的问题,我们只要在token上带上我们的自定义字段,用来区分是哪个表或哪个验证器生成的,然后再编写自己的中间件验证我们的自定义字段是否符合我们的预期。
添加自定义信息到token
我们知道要使用jwt验证,用户模型必须要实现JWTSubject的接口(代码取自jwt文档):
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
|
<?php
namespace App;
use Tymon\JWTAuth\Contracts\JWTSubject;
use Illuminate\Notifications\Notifiable;
use Illuminate\Foundation\Auth\User as Authenticatable;
class User extends Authenticatable implements JWTSubject
{
use Notifiable;
public function getJWTIdentifier()
{
return $this ->getKey();
}
public function getJWTCustomClaims()
{
return [];
}
}
|
我们可以看看实现的这两个方法的作用:
- getJWTIdentifier的:获取会储存到jwt声明中的标识,其实就是要我们返回标识用户表的主键字段名称,这里是返回的是主键'id',
- getJWTCustomClaims:返回包含要添加到jwt声明中的自定义键值对数组,这里返回空数组,没有添加任何自定义信息。
接下来我们就可以在实现了getJWTCustomClaims方法的用户模型中添加我们的自定义信息了。
管理员模型:
1
2
3
4
5
6
7
8
9
|
public function getJWTCustomClaims()
{
return [ 'role' => 'admin' ];
}
|
移动端用户模型:
1
2
3
4
5
6
7
8
9
|
public function getJWTCustomClaims()
{
return [ 'role' => 'user' ];
}
|
这里添加了一个角色名作为用户标识。
这样管理员生成的token会像这样:
1
2
3
4
5
6
7
8
9
10
|
{
"iss" : "http://your-request-url" ,
"iat" : 1558668215,
"exp" : 1645068215,
"nbf" : 1558668215,
"jti" : "XakIDuG7K0jeWGDi" ,
"sub" : 1,
"prv" : "92d5e8eb1b38ccd11476896c19b0e44512b2aacd" ,
"role" : "admin"
}
|
移动端用户生成的token会像这样:
1
2
3
4
5
6
7
8
9
10
|
{
"iss" : "http://your-request-url" ,
"iat" : 1558668215,
"exp" : 1645068215,
"nbf" : 1558668215,
"jti" : "XakIDuG7K0jeWGDi" ,
"sub" : 1,
"prv" : "92d5e8eb1b38ccd11476896c19b0e44512b2aacd" ,
"role" : "user"
}
|
我们可以看到这里多了一个我们自己加的role字段,并且对应我们的用户模型。
接下来我们自己写一个中间件,解析token后判断是否是我们想要的角色,对应就通过,不对应就报401就好了。
编写jwt角色校验中间件
这里提供一个可全局使用的中间件(推荐用在用户验证中间件前):
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
|
<?php
namespace App\Http\Middleware;
use Closure;
use Symfony\Component\HttpKernel\Exception\UnauthorizedHttpException;
use Tymon\JWTAuth\Exceptions\JWTException;
use Tymon\JWTAuth\Http\Middleware\BaseMiddleware;
class JWTRoleAuth extends BaseMiddleware
{
public function handle( $request , Closure $next , $role = null)
{
try {
$token_role = $this ->auth->parseToken()->getClaim( 'role' );
} catch (JWTException $e ) {
return $next ( $request );
}
if ( $token_role != $role ) {
throw new UnauthorizedHttpException( 'jwt-auth' , 'User role error' );
}
return $next ( $request );
}
}
|
注册jwt角色校验中间件
在app/Http/Kernel.php中注册中间件:
1
2
3
4
5
6
7
8
9
10
11
12
13
|
protected $routeMiddleware = [
'jwt.role' => \App\Http\Middleware\JWTRoleAuth:: class ,
];
|
使用jwt角色校验中间件
接下来在需要用户验证的路由组中添加我们的中间件:
1
2
3
4
5
6
7
8
9
10
11
12
13
|
Route::group([
'middleware' => [ 'jwt.role:admin' , 'jwt.auth' ],
], function ( $router ) {
});
Route::group([
'middleware' => [ 'jwt.role:user' , 'jwt.auth' ],
], function ( $router ) {
});
|
至此完成jwt多表用户验证隔离。