Laravel 5.6 - 用于自助API的Passport JWT httponly cookie SPA身份验证？

Posted 2023-02-27

注意：我在这个问题上有4个赏金，但下面没有提出的答案是这个问题所需要的答案。所需的一切都在下面的Update 3中，只是寻找要实现的Laravel代码。

---

更新3：此流程图正是我想要完成的流程，下面的所有内容都是原始问题，包含一些较旧的更新。该流程图总结了所需的一切。

下面的流程图中的绿色部分是我知道如何做的部分。红色部分及其旁注是我正在寻找帮助完成使用Laravel代码。

---

我已经做了很多研究，但是当使用Laravel和JWT httponly cookie进行自我消费的API时，信息总是很短而且不完整（大多数在线教程只显示JWT存储在本地存储中并且不是很安全）。看起来像包含JWT by Passport的httponly cookie应该用于识别javascript端的用户，当每次请求发送到服务器以验证用户是否是他们所说的用户时。

还有一些额外的东西需要全面了解如何使这个设置工作，我没有在一个教程中遇到这个包括：

1. Laravel Passport（不是tymon auth）生成加密的JWT并将其作为httponly cookie发送，作为从JS端登录后的响应。使用什么中间件？如果刷新令牌添加更多安全性，如何实现？
2. JavaScript（例如axios）api伪代码，用于调用auth端点，如何将httponly cookie传递给后端，以及后端验证令牌是如何有效的。
3. 如果从多个设备登录单个帐户，那么设备被盗，如何撤销所有authed用户设备的访问权限（假设用户从他们可以控制的登录设备更改密码）？
4. 什么会登录/注册，注销，更改密码，忘记密码控制器方法通常看起来像处理令牌的创建/验证/撤销？
5. CSRF令牌集成。

我希望这个问题的答案可以作为一个易于遵循的指南，为未来的读者和那些正在努力寻找一个自我消费API的上述观点的答案。

更新1：

1. 请注意我之前尝试过CreateFreshApiToken，但是在撤销用户令牌时这不起作用（对于上面的第3点和第4点）。在讨论this comment中间件时，这是基于核心laravel开发人员的CreateFreshApiToken：

由此中间件创建的JWT令牌不会存储在任何位置。它们不能被撤销或“不存在”。它们只是为您的api调用提供了一种通过laravel_token cookie进行authed调用的方法。它与访问令牌无关。另外：您通常不会在发布它们的同一个应用程序上使用客户发出的令牌。您可以在第一方或第三方应用中使用它们。使用中间件或客户端发出的令牌，但不能同时使用两者。

所以似乎能够迎合第3点和第4点来撤销令牌，如果使用CreateFreshApiToken中间件，则不可能这样做。

2. 在客户端，似乎Authorization: Bearer <token>不是处理安全的httpOnly cookie时的方法。我认为请求/响应应该包含安全的httpOnly cookie作为请求/响应头，像这样基于laravel文档：

使用此身份验证方法时，默认的Laravel JavaScript脚手架指示Axios始终发送X-CSRF-TOKEN和X-Requested-With标头。

headerswindow.axios.defaults.headers.common = 
    'X-Requested-With': 'XMLHttpRequest',
    'X-CSRF-TOKEN': (csrf_token goes here)
;

这也是我寻找涵盖上述所有要点的解决方案的原因。道歉，我使用的是Laravel 5.6而不是5.5。

更新2：

似乎密码授予/刷新令牌授权组合是要走的路。使用密码授予/刷新令牌授权组合寻找易于遵循的实施指南。

密码授予：此授权适用于与我们信任的客户交易，例如我们自己网站的移动应用。在这种情况下，客户端将用户的登录凭据发送到授权服务器，服务器直接发出访问令牌。

刷新令牌授权：当服务器发出访问令牌时，它还会为访问令牌设置到期时间。当我们想要在访问令牌过期时刷新访问令牌时，使用刷新令牌授予。在这种情况下，授权服务器将在发出访问令牌时发送刷新令牌，该令牌可用于请求新的访问令牌。

我正在寻找一个易于实现，直接，全面的答案，使用密码授予/刷新令牌授权组合，涵盖上述原始5点的所有部分与httpOnly安全cookie，创建/撤销/刷新令牌，登录cookie创建，注销cookie撤销，控制器方法，CSRF等

答案

Laravel Passport JWT

1. 要使用此功能，您需要禁用cookie序列化。 Laravel 5.5存在cookie值序列化/反序列化的问题。你可以在这里阅读更多相关信息（https://laravel.com/docs/5.5/upgrade）
2. 确保这一点 你的刀片模板头有<meta name="csrf-token" content=" csrf_token() "> axios设置为在每个请求上使用csrf_token。

你应该在resources/assets/js/bootstrap.js有类似的东西

window.axios.defaults.headers.common['X-Requested-With'] = 'XMLHttpRequest';
let token = document.head.querySelector('meta[name="csrf-token"]');

if (token) 
  window.axios.defaults.headers.common['X-CSRF-TOKEN'] = token.content;
 else 
  console.error('CSRF token not found: https://laravel.com/docs/csrf#csrf-x-csrf-token');

3. 这里解释设置auth路线（https://laravel.com/docs/5.5/authentication）
4. 这里解释了设置护照（https://laravel.com/docs/5.5/passport）。

重要的部分是：

• 将Laravel\Passport\HasApiTokens特性添加到您的User模型中
• 将driver身份验证后卫的api选项设置为passport中的config/auth.php
• 将\Laravel\Passport\Http\Middleware\CreateFreshApiToken::class,中间件添加到web的app/Http/Kernel.php中间件组

请注意，您可能会跳过迁移和创建客户端。

5. 向/login发送POST请求，传递您的凭据。您可以提交AJAX请求或普通表单。

如果登录请求是AJAX（使用axios），响应数据将是html，但您感兴趣的是状态代码。

axios.get(
  '/login, 
  
    email: 'user@email.com',
    password: 'secret',
  ,
  
    headers: 
      'Accept': 'application/json', // set this header to get json validation errors.
    ,
  ,
).then(response => 
  if (response.status === 200) 
      // the cookie was set in browser
      // the response.data will be HTML string but I don't think you are interested in that
    
    // do something in this case
).catch(error => 
  if (error.response.status === 422) 
    // error.response.data is an object containing validation errors
  
  // do something in this case
);

登录时，服务器通过提供的凭据查找用户，根据用户信息（id，email ...）生成令牌（此令牌不保存在任何地方），然后服务器返回带有加密cookie的响应，该cookie包含生成的令牌。

6. 对受保护的路由进行API调用。

假设你有一条受保护的路线

Route::get('protected', 'SomeController@protected')->middleware('auth:api');

您可以正常使用axios进行ajax调用。 Cookie会自动设置。

axios.get('/api/protected')
  .then(response => 
    // do something with the response
  ).catch(error => 
    // do something with this case of error
  );

当服务器收到呼叫时，解密请求laravel_cookie并获取用户信息（例如：id，email ...）然后用该用户信息进行数据库查找以检查用户是否存在。如果找到用户，则授权用户访问所请求的资源。否则返回401。

使JWT令牌无效。当你提到评论时，没有必要担心这个，因为这个令牌没有保存在服务器上的任何地方。

更新

关于第3点Laravel 5.6 Auth有一个新方法logoutOtherDevices。您可以从这里了解更多信息（https://laracasts.com/series/whats-new-in-laravel-5-6/episodes/7），因为文档非常清晰。

如果您无法更新Laravel版本，可以查看5.6中的完成情况，并为5.5构建自己的实现

你问题的第4点。看看在app/Http/Controllers/Auth找到的控制器。

关于access_tokens和refresh_tokens，这是一种完全不同且更复杂的方法。你可以在网上找到很多教程，解释如何做到这一点。

我希望它有所帮助。

PS。祝新年快乐！！ :)

另一答案

• Laravel Passport是PHP League的OAuth服务器的一个实现
• 密码授予类型可用于用户名+密码验证
• 请记住通过在代理中发出身份验证请求来隐藏您的客户端凭据
• 将刷新令牌保存在HttpOnly cookie中，以最大限度地降低XSS攻击的风险

您可以在此处查看更多信息

http://esbenp.github.io/2017/03/19/modern-rest-api-laravel-part-4/

另一答案

我也在我的项目中实施了Laravel护照，我想我已经涵盖了你在问题中提到的大部分要点。

1. 我使用密码授予来生成访问令牌和刷新令牌。您可以按照these步骤设置护照并实施护照补助金。在您的登录方法中，您必须验证用户凭据并生成令牌并将cookie（Attaching cookie to the response）附加到响应中。如果你需要我可以给你一些例子。
2. 我为CORS添加了两个中间件（处理传入的请求头）并检查传入访问令牌是否有效，如果无效则从存储的刷新令牌（Refreshing token）生成访问令牌。我可以告诉你这个例子。
3. 登录后，来自客户端的所有请求都应包含Authorization标头（Authorization: Bearer <token>）。

如果您对以上几点有所了解，请告诉我。

另一答案

我将尝试以通用的方式回答这个问题，以便答案适用于框架，实现和语言，因为所有问题的答案都可以从一般协议或算法规范中得出。

我应该使用哪种OAuth 2.0授权类型？

这是首先要决定的事情。在SPA方面，两种可能的选择是：

1. 授权代码授权（建议，如果客户端密钥存储在服务器端）
2. 资源所有者密码凭据授予

我没有提到隐式授权类型作为选项的原因是：

1. 缺少通过提供客户端密钥和授权代码的客户端身份验证步骤。安全性降低
2. 访问令牌作为URL片段发送回（以便令牌不会转到服务器），这将继续保留在浏览器历史记录中
3. 如果发生XSS攻击，恶意脚本可以很好地将令牌发送到远程服务器以控制攻击者

（客户端凭据授予类型不在本讨论的范围内，因为在客户端不代表用户执行时使用它。例如批处理作业）

在授权代码授权类型的情况下，授权服务器通常是与资源服务器不同的服务器。最好将授权服务器保持独立，并将其用作组织内所有SPA的公共授权服务器。这始终是推荐的解决方案。

这里（在授权代码授权类型中）流程如下所示：

1. 用户单击SPA登录页面上的登录按钮
2. 用户被重定向到授权服务器登录页面。客户端ID在URL查询参数中提供
3. 用户输入他/她的凭据并单击登录按钮。用户名和密码将使用HTTP POST发送到授权服务器。凭证应该在请求正文或标题中发送，而不是在URL中发送（因为URL记录在浏览器历史记录和应用程序服务器中）。此外，应设置正确的缓存HTTP标头，以便不缓存凭据：Cache-Control: no-cache, no-store，Pragma: no-cache，Expires: 0
4. 授权服务器针对用户数据库（例如，LDAP服务器）对用户进行身份验证，其中用户密码的用户名和哈希值（散列算法，如Argon2，PBKDF2，Bcrypt或Scrypt）与随机盐一起存储
5. 在成功进行身份验证后，授权服务器将从其数据库中检索URL查询参数中提供的客户端ID的重定向URL。重定向URL是资源服务器URL
6. 然后，用户将被重定向到具有URL查询参数中的授权代码的资源服务器端点
7. 然后，资源服务器将向授权服务器发出HTTP POST请求以获取访问令牌。授权代码，客户端ID，客户端密钥应该放在请求正文中。 （应使用上面适当的缓存头）
8. 授权服务器将在响应主体或标头中返回访问令牌和刷新令牌（具有上述适当的缓存头）
9. 资源服务器现在将通过设置适当的cookie将用户（HTTP响应代码302）重定向到SPA URL（将在下面详细说明）

另一方面，对于资源所有者密码凭证授予类型，授权服务器和资源服务器是相同的。它更容易实现，如果它符合要求和实施时间表，也可以使用。

有关资源所有者授权类型的更多详细信息，请参阅我对此here的回答。

这里需要注意的是，在SPA中，只有在调用适当的服务之后才能启用所有受保护的路由，以确保请求中存在有效的令牌。同样，受保护的API也应具有适当的过滤器来验证访问令牌。

为什么我不应该在浏览器localstorage或sessionstorage中存储令牌？

许多SPA确实在浏览器localstorage或sessionstorage中存储访问和/或刷新令牌。我认为我们不应该在这些浏览器存储中存储令牌的原因是：

1. 如果发生XSS，恶意脚本可以从那里轻松读取令牌并将其发送到远程服务器。有远程服务器或攻击者在冒充受害用户时没有问题。
2. localstorage和sessionstorage不在子域之间共享。因此，如果我们在不同的子域上运行两个SPA，我们将无法获得SSO功能，因为一个应用程序存储的令牌将无法供组织内的其他应用程序使用

但是，如果令牌仍存储在任何这些浏览器存储中，则必须包含正确的指纹。指纹是一种加密强大的随机字节串。然后，原始字符串的Base64字符串将存储在名称前缀为HttpOnly的Secure，SameSite，__Secure- cookie中。 Domain和Path属性的正确值。字符串的SHA256哈希也将在JWT的声明中传递。因此，即使XSS攻击将JWT访问令牌发送给攻击者控制的远程服务器，它也无法在cookie中发送原始字符串，因此服务器可以根据cookie的缺失拒绝请求。此外，通过使用适当的content-security-policy响应头，可以进一步减轻XSS和脚本注入。

注意：

1. SameSite=strict确保给定的cookie不会伴随来自不同站点的请求（AJAX或通过以下超链接）。简单地说 - 将允许来自具有与目标站点相同的“可注册域”的站点的任何请求。例如。如果“http://www.example.com”是网站的名称，则可注册域名为“example.com”。有关详细信息，请参阅参考编号。 3在下面的最后一节中。因此，它提供了一些针对CSRF的保护。但是，这也意味着如果提供的URL是论坛，则经过身份验证的用户无法关注该链接。如果这是对应用程序的严重限制，只要HTTP方法是安全的，就可以使用SameSite=lax，这将允许跨站点请求。 GET，HEAD，OPTIONS和TRACE。由于CSRF基于不安全的方法，如POST，PUT，DELETE，lax仍然提供针对CSRF的保护
2. 要允许cookie在所有请求中传递到“example.com”的任何子域，cookie的域属性应设置为“example.com”

为什么我应该在cookie中存储访问令牌和/或刷新令牌？

1. 将令牌存储在cookie中时，我们可以将cookie设置为secure和httpOnly。因此，如果发生XSS，则恶意脚本无法读取并将其发送到远程服务器。 XSS仍然可以从用户的浏览器中模拟用户，但如果浏览器关闭，则脚本无法进一步损坏。 secure flag确保令牌不能通过不安全的连接发送 - SSL / TLS是强制性的
2. 例如，将cookie中的根域设置为domain=example.com可确保cookie可在所有子域中访问。因此，组织内的不同应用程序和服务器可以使用相同的令牌

   以上是关于Laravel 5.6 - 用于自助API的Passport JWT httponly cookie SPA身份验证？的主要内容，如果未能解决你的问题，请参考以下文章

   减少对外部 API 的身份验证调用（Laravel 5.6）

   Laravel 5.6 API 资源未显示关系数据

   在 laravel 5.6 中无法使用邮递员使用 api 路由

   Laravel 5.6 护照 API 身份验证在获取请求中不起作用

   Spatie/Newsletter：Laravel 5.6 中提供的 MailChimp 无效 MailChimp API 密钥

   Laravel 5.6 上的 Ajax 身份验证重定向