Что такое паспорт в Laravel? [закрыто]

В настоящее время API также известен как веб-сервисы. Веб-сервисы очень важны при создании веб-приложений и мобильных приложений. Вам необходимо создать API для разработчика вашего мобильного приложения. Как мы знаем, laravel более популярен из-за создания API. Но если вы новичок и не знаете, что такое API и веб-сервисы, тогда вы находитесь в правильном месте.

Что такое Passport?

API обычно используют токены для аутентификации пользователей и не поддерживают состояние сеанса между запросами. Laravel упрощает аутентификацию API, используя Laravel Passport, который обеспечивает полную реализацию сервера OAuth2 для вашего приложения Laravel за считанные минуты.

Больше информации здесь

https://mattstauffer.com/blog/introduction-laravel-passport/

http: //esbenp.github .io / 2017/03/19 / современный отдых-апи-Laravel-часть-4 /

API также известен как веб-сервисы.

Установите базовую систему аутентификации, интегрированную в Laravel и Laravel Passport:

composer require laravel/passport
php artisan make:auth
php artisan passport:install
php artisan migrate

Добавьте черту Laravel \ Passport \ HasApiTokens в нашу модель App \ User и метод Passport :: routs в методе загрузки нашего app / AuthServiceProvider вот так:

public function boot() {
    $this->registerPolicies();
    Passport::routes();
}

И, наконец, установите опцию driver защиты аутентификации API на passport вот так:

'guards' => [
    'web' => [
        'driver' => 'session',
        'provider' => 'users',
    ],

    'api' => [
        'driver' => 'passport',
        'provider' => 'users',
    ],
],

теперь проверяют, что все в порядке с почтальоном (вы можете использовать любой другой инструмент для имитации http-запросов).

Маршрут регистрации возвращает токен (потому что он автоматически регистрирует вас), но мы сгенерируем его с маршрутом входа, чтобы проверить, что он работает. [ 1113]

Таким образом, вы можете использовать Laravel Passport в вашем веб-приложении

ну вот ,

В документации, которой вы поделились, есть довольно хорошее введение, если вы перейдете на вкладку введения. Я думаю, вы знаете, что такое RESTfull API? Если вы не здесь . Так как остальные API не используют сеансы (в PHP вы это знаете), все вызовы API будут без сохранения состояния (без сессий). Поэтому вам потребуется механизм аутентификации, чтобы убедиться, что клиент на самом деле является тем, кем он является. Именно здесь и используется этот метод аутентификации, этот сервис oauth специально разработан для разрешения этой проблемы при работе с сеансами без сохранения состояния REST.

Что это делает, если вы слышали о токенах , когда пользователь регистрируется и входит в систему позже, во время входа в систему данные для входа в систему пользователя проверяются с помощью базы данных, и если пользователь аутентифицируется (имя пользователя и пароль совпадают), тогда будет сгенерирован токен .. этот токен чем-то похож на сеанс, но классная часть в том, что он лежит на клиентском компьютере. так что это похоже на детали сеанса, которые остаются на стороне клиента. поэтому во время запроса REST этот токен будет передан вместе с заголовком запроса.

**

теперь генерирует механизм токена

**

вы можете быть удивлены, теперь это действительно кусок пирога взломать тогда. Нет, это не так, потому что теперь предположим, что у вас есть токен на стороне клиента, включающий эти данные

{
   username:"JhonSnow",
   email:"winteriscomming@gmail.com",
   type:"user"
} 

, теперь сначала этот токен шифруется с использованием кодировки base64url . Хорошо, теперь это можно почитать с помощью декодера base64. Но удивительная часть состоит в том, что даже если злоумышленник сможет получить эту информацию из токена, он не сможет расширить приложение, привилегированное, как этот

type: "user"

-

`type:" admin "

` потому что этот сеанс, как и целостность токена, можно проверить с помощью механизма аутентификации на стороне сервера, предоставленного 0-auth, который почему это широко используется и очень популярно в веб-разработке. Теперь я уже упоминал, как токен детально структурирован, это немного сложно. это больше похоже на это

header:{
  "alg": "HS256",
  "typ": "JWT"
},
payload:{
  "sub": "1234567890",
  "name": "John Doe",
  "iat": 1516239022
}

, теперь с использованием этих деталей, будет сгенерирован токен, например,

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.he0ErCNloe4J7Id0Ry2SEDg09lKkZkfsRiGsdX_vgEg

, если вы присмотритесь, вы увидите, что есть 3 "." (точка) в этом токене, чтобы различать заголовок, полезную нагрузку и сигнатуру. Последняя часть - это та, которую сервер проверит с помощью секрета сервера или известной как сигнатура для проверки этого токена, является действительным токеном или нет [1117 ]