* Laravel Taiwan Meetup

1. Laradebut #7
會員系統 Authentication
@author Cara Wang <caraw@cnyes.com>
@since 2017/03/28
1

2. PHP Developer
1. 2014/09 ~ now
2. 2015/09 ~ now: Laravel
2

3. 會員系統要素
註冊
登入 / 登出
記得我
其他: email 驗證 / 忘記密碼 等等...
3

4. 兩種架構
1. Server Based Authentication
4

5. ServerBasedAuthentication
5

6. ServerBasedAuthentication
6

7. ServerBasedAuthentication
7

8. ServerBasedAuthentication-其他Request需要驗證登入狀況時
8

9. ServerBasedAuthentication-其他Request需要驗證登入狀況時
9

10. ServerBasedAuthentication-其他Request需要驗證登入狀況時
10

11. 兩種架構
1. Server Based Authentication
單靠後端操作使用者的登入狀況
使用 Session 記錄使用者登入狀況
適合用在目標客戶只有瀏覽器的產品
1. Token Based Authentication
11

12. TokenBasedAuthentication
12

13. TokenBasedAuthentication
13

14. TokenBasedAuthentication-其他Request需要驗證登入狀況時
14

15. TokenBasedAuthentication-其他Request需要驗證登入狀況時
15

16. 兩種架構
1. Server Based Authentication
單靠後端操作使用者的登入狀況
使用 Session 與 Cookies 記錄使用者登入狀況
適合用在目標客戶只有瀏覽器的產品
1. Token Based Authentication
前後端合作操作使用者的登入狀況
需要處理 API Header 溝通使用者登入狀況
適合用在任何產品上，擴充容易
16

17. 兩種架構 -實作會員系統要素的差異
1. 註冊: 相同
1. 登入 / 登出
Server Based Authentication: 後端利用 Session + Cookies 記錄使用者狀
態
Token Based Authentication: 前端取得 Authorization Header 告知後端使
用者狀態
17

18. 兩種架構 -實作會員系統要素的差異
1. 記住我
Server Based Authentication: 後端利用設定 TTL 長的 Cookies 記錄使用
者狀態
Token Based Authentication: 前端定期做 Token Refresh
其他: email 驗證 / 忘記密碼 等等...: 相同
程式示範: 登入 和 記住我
18

19. 聽起來很複雜...
Laravel 提供完整的 Server Based
Authentication
php artisan make:auth
php artisan serve
19

20. phpartisanmake:auth後的codechange
20

21. 聽起來很複雜...
Laravel 提供完整的 Server Based
Authentication
php artisan make:auth
php artisan serve
php artisan migrate
21

22. 如果你使用 Laravel 5.4 + MySQL 5.6 或以下版本
22

23. Schema::defaultStringLength(191);
如果你使用 Laravel 5.4 + MySQL 5.6 或以
下版本
namespace AppProviders;
use IlluminateSupportFacadesSchema;
class AppServiceProvider extends ServiceProvider
{
public function boot()
{
}
}
Ref: https://laravel-news.com/laravel-5-4-key-too-long-error
01.
02.
03.
04.
05.
06.
07.
08.
09.
23

24. ServerBasedAuthentication
24

25. ServerBasedAuthentication-Laravel
25

26. ServerBasedAuthentication
26

27. ServerBasedAuthentication-Laravel
27

28. ServerBasedAuthentication
28

29. ServerBasedAuthentication-Laravel
29

30. ServerBasedAuthentication
30

31. ServerBasedAuthentication-Laravel
31

32. 記得我
多一個 TTL 很長的 cookies:
1|EWnGacWd8GnEUVdeeki0GLs70tjJCfb9jph2LkAbvkdTq0e8SHhA2L8mUWb0
32

33. ServerBasedAuthentication-RememberMe
33

34. ServerBasedAuthentication-RememberMe
34

35. Laravel 提供的 Token Based Authentication?
https://gistlog.co/JacobBennett/090369fbab0b31130b51
35

36. $data['token'] = str_random(20);
['token' => $data['token']]
Laravel 提供的 Token Based Authentication?
namespace AppHttpControllersAuth;
use IlluminateHttpRequest;
...
public function apiRegister(Request $request)
{
$data = $request->json()->all();
$this->validator($data)->validate();
$user = $this->create($data);
return response()->json( );
}
Stateless ?
01.
02.
03.
04.
05.
06.
07.
08.
09.
10.
11.
12.
13.
36

37. // 1. install package
// 2. modify config/app.php
// 3. setup config
使用以下 Package:
tymondesigns/jwt-auth
composer require tymon/jwt-auth
'providers' => [
TymonJWTAuthProvidersJWTAuthServiceProvider::class,
],
'aliases' => [
'JWTAuth' => TymonJWTAuthFacadesJWTAuth::class,
],
php artisan vendor:publish --provider="TymonJWTAuthProvidersJWTAuthServiceProvider"
php artisan jwt:generate
01.
02.
03.
04.
05.
06.
07.
08.
09.
10.
11.
12.
37

38. $token = JWTAuth::attempt($data);
撰寫 登入 機制
namespace AppHttpControllersAuth;
use JWTAuth;
use IlluminateHttpRequest;
class LoginController extends Controller
{
public function apiLogin(Request $request)
{
$data = $request->json()->all();
if (!$token) {
return response()->json(['error' => 'Invalid User']);
}
return response()->json(['token' => $token]);
}
}
01.
02.
03.
04.
05.
06.
07.
08.
09.
10.
11.
12.
13.
14.
15.
16.
38

39. 撰寫 登入 機制
// route/api.php
Route::post('/login', 'AuthLoginController@apiLogin');
JWT
01.
02.
39

40. 讓 Error 的 API Response 也是 Json 格式
namespace AppExceptions;
class Handler extends ExceptionHandler
{
public function render($request, Exception $exception)
{
if ($request->expectsJson()) {
return response()->json(['error' => $exception->getMessage()], 500);
}
return parent::render($request, $exception);
}
}
01.
02.
03.
04.
05.
06.
07.
08.
09.
10.
11.
12.
40

41. TokenBasedAuthentication
41

42. TokenBasedAuthentication-Laravel
42

43. 測試其他 Request
// route/api.php
use TymonJWTAuthFacadesJWTAuth;
Route::middleware('jwt')->get('/user', function (Request $request) {
return JWTAuth::parseToken()->toUser();
});
01.
02.
03.
04.
05.
43

44. JWTAuth::parseToken()->authenticate();
撰寫 Middleware
php artisan make:middleware JWTAuthentication
namespace AppHttpMiddleware;
use JWTAuth;
class JWTAuthentication
{
public function handle($request, Closure $next)
{
return $next($request);
}
}
01.
02.
03.
04.
05.
06.
07.
08.
09.
10.
11.
12.
44

45. 撰寫 Middleware
記得綁到 Kernal 中
namespace AppHttp;
class Kernel extends HttpKernel
{
protected $routeMiddleware = [
'jwt' => AppHttpMiddlewareJWTAuthentication::class
];
}
01.
02.
03.
04.
05.
06.
07.
45

46. TokenBasedAuthentication
46

47. TokenBasedAuthentication-Laravel
47

48. $newToken = JWTAuth::parseToken()->refresh();
記得我
靠前端做 Token Refresh
// route/api.php
Route::get('/refresh', 'AuthLoginController@refreshToken');
public function refreshToken()
{
return response()->json(['token' => $newToken]);
}
01.
02.
01.
02.
03.
04.
05.
48

49. TokenBasedAuthentication-RememberMe
49

50. 聽起來好像很簡單!?
如果都不想自己撰寫驗證程式
1. 可以考慮使用
Firebase Authentication
AWS Cognito
Auth0
50

51. Q & A
51