Hướng dẫn token in php

Với sự hoành tráng của mô hình client server -- WEB API thì khái niệm api không còn lạ với chúng ta nữa. Với sự hoành tráng của mô hình client server -- WEB API thì khái niệm api không còn lạ với chúng ta nữa. 

2021-07-06 3005 lượt xem

1. Trang Chủ
2. laravel
3. Hướng dẫn sử dụng jwt token với laravel php sử dụng thư viện tymon auth

hùng đẹp trai

đọc dữ liệu hộ bố

ahihi đồ ngốc trương thanh hùng nè

hùng đẹp trai

đọc dữ liệu hộ bố

hùng ebudezain

hùng đẹp trai

hùng thông minh lắm

đọc dữ liệu hộ bố

hùng thông minh lắm

đọc dữ liệu hộ bố

bài viết được viết bởi trương thanh hùng https://ebudezain.com/

hùng thông minh lắm

Và JWT token cũng thế, ở khuôn khổ bài này mình không nói về jwt là gì. Mình chỉ hướng dẫn cho các bạn cách nhúng jwt vào laravel cho api.

tôi thích vậy đó

ahihi đồ ngốc trương thanh hùng nè

hùng thông minh lắm

đọc dữ liệu hộ bố

ahihi đồ ngốc trương thanh hùng nè

1. cài package

tôi thích vậy đó

hùng đẹp trai

composer require tymon/jwt-auth

hùng ebudezain

2. config provider và alias

ahihi đồ ngốc trương thanh hùng nè

bài viết được viết bởi trương thanh hùng https://ebudezain.com/

bài viết được viết bởi trương thanh hùng https://ebudezain.com/

tôi thích vậy đó

đọc dữ liệu hộ bố

hùng đẹp trai

bài viết được viết bởi trương thanh hùng https://ebudezain.com/

Sau khi install package hoàn tất, bạn cần thêm service provider vào mảng provider trong file config app.php :

hùng ebudezain

tôi thích vậy đó

hùng ebudezain

đọc dữ liệu hộ bố

Tymon\JWTAuth\Providers\JWTAuthServiceProvider::class,

hùng ebudezain

hùng thông minh lắm

tôi thích vậy đó

đọc dữ liệu hộ bố

hùng đẹp trai

cũng tại file app.config đó bạn thêm aliases cho 2 lớp thường dùng: 

hùng ebudezain

tôi thích vậy đó

bài viết được viết bởi trương thanh hùng https://ebudezain.com/

'JWTAuth' => Tymon\JWTAuth\Facades\JWTAuth::class,
'JWTFactory' => 'Tymon\JWTAuth\Facades\JWTFactory'::class,

đọc dữ liệu hộ bố

hùng ebudezain

3. tạo file config để jwt hoạt động

ahihi đồ ngốc trương thanh hùng nè

hùng ebudezain

tôi thích vậy đó

hùng thông minh lắm

Sau cùng bạn cần publish config của jwt ( kiểu như nó tạo cái file config vào hệ thống laravel )

ahihi đồ ngốc trương thanh hùng nè

ahihi đồ ngốc trương thanh hùng nè

hùng thông minh lắm

hùng thông minh lắm

php artisan vendor:publish --provider="Tymon\JWTAuth\Providers\JWTAuthServiceProvider"

ahihi đồ ngốc trương thanh hùng nè

4. Tạo secret key

ahihi đồ ngốc trương thanh hùng nè

tôi thích vậy đó

Theo lý thuyết jwt dĩ nhiên muốn tạo ra 1 token bạn cần cung cấp 1 secret key 
tạo secret key trong laravel khá dễ : 

bài viết được viết bởi trương thanh hùng https://ebudezain.com/

đọc dữ liệu hộ bố

hùng ebudezain

Nếu bạn sử dụng jwt để thực hiện xác thực cho việc trao đổi thông tin giữa 2 server 
thì 2 key của 2 server phải giống nhau thì mới có thể giải mã được ... 
Vì vậy, bạn có thể tạo 1 key bất kỳ bên server này và copy cho server kia. 

hùng đẹp trai

ahihi đồ ngốc trương thanh hùng nè

ahihi đồ ngốc trương thanh hùng nè

đọc dữ liệu hộ bố

bài viết được viết bởi trương thanh hùng https://ebudezain.com/

đọc dữ liệu hộ bố

tôi thích vậy đó

ahihi đồ ngốc trương thanh hùng nè

hùng ebudezain

bài hướng dẫn giải mã jwt của php laravel trong nodejs 

tôi thích vậy đó

đọc dữ liệu hộ bố

5. sửa lại model user để tiêm cái id user vào claim

hùng thông minh lắm

tôi thích vậy đó

hùng thông minh lắm

đọc dữ liệu hộ bố

bạn cần implements cái interface tên JWTSubject và thực thi 2 phương thức getJWTIdentifier, getJWTCustomClaims mục tiêu là để khi tạo token thì jwt của bạn được gắn chặt với 1 vái value là id của user. Sau đó khi giải mã thì ta được 1 object user tương ứng

đọc dữ liệu hộ bố

ahihi đồ ngốc trương thanh hùng nè

namespace App\Models;

/// ... 
use Tymon\JWTAuth\Contracts\JWTSubject;

class User extends Authenticatable implements JWTSubject
{
    use HasFactory, Notifiable;

     /**
     * @return int
     */
    public function getJWTIdentifier() {
        
        return $this->getKey();
    }
    
    /**
     * @return array
     */
    public function getJWTCustomClaims() {
        return [
            "iss" => "http://localhost",
            "ahihi" => "đồ ngốc CustomClaims"
        ];
    }
    //// ..... 
}

hùng ebudezain

hùng ebudezain

hùng đẹp trai

đọc dữ liệu hộ bố

ahihi đồ ngốc trương thanh hùng nè

hùng thông minh lắm

hùng thông minh lắm

6. lưu ý thông tin file config

đọc dữ liệu hộ bố

hùng ebudezain

đọc dữ liệu hộ bố

Secret Key - secret

đọc dữ liệu hộ bố

hùng đẹp trai

đọc dữ liệu hộ bố

bài viết được viết bởi trương thanh hùng https://ebudezain.com/

đọc dữ liệu hộ bố

bài viết được viết bởi trương thanh hùng https://ebudezain.com/

Cái tên nói lên tất cả 😄 Mục 4 mình vừa trình bày là cái key này, khi bạn muốn 2 server giải mã qua lại thì 2 server phải có key giống nhau.
Mặc định load trong env cái biến JWT_SECRET không thì nó lấy đại 

ahihi đồ ngốc trương thanh hùng nè

bài viết được viết bởi trương thanh hùng https://ebudezain.com/

hùng đẹp trai

tôi thích vậy đó

tôi thích vậy đó

ahihi đồ ngốc trương thanh hùng nè

'secret' => env('JWT_SECRET', 'hung-dep-trai'),

hùng ebudezain

ahihi đồ ngốc trương thanh hùng nè

tôi thích vậy đó

hùng thông minh lắm

JWT time to live - ttl

đọc dữ liệu hộ bố

bài viết được viết bởi trương thanh hùng https://ebudezain.com/

hùng ebudezain

hùng thông minh lắm

hùng đẹp trai

bài viết được viết bởi trương thanh hùng https://ebudezain.com/

bài viết được viết bởi trương thanh hùng https://ebudezain.com/

đọc dữ liệu hộ bố

1 token tạo ra phải có thười gian sống (tính bằng phút). Khuyến nghị ngắn thôi. 

đọc dữ liệu hộ bố

tôi thích vậy đó

Refresh time to live - refresh_ttl

đọc dữ liệu hộ bố

hùng thông minh lắm

ahihi đồ ngốc trương thanh hùng nè

hùng thông minh lắm

đọc dữ liệu hộ bố

hùng ebudezain

hùng ebudezain

hùng thông minh lắm

hùng ebudezain

Đây là thời gian (tính bằng phút) bạn có thể tạo mới một token khác từ token cũ mà ko cần xác thực lại... 

bài viết được viết bởi trương thanh hùng https://ebudezain.com/

ahihi đồ ngốc trương thanh hùng nè

ahihi đồ ngốc trương thanh hùng nè

'refresh_ttl' => 20160, //2 week

đọc dữ liệu hộ bố

Tạo một token đơn giản

hùng thông minh lắm

Tạo một token dự trên user

bài viết được viết bởi trương thanh hùng https://ebudezain.com/

hùng thông minh lắm

hùng ebudezain

bài viết được viết bởi trương thanh hùng https://ebudezain.com/

ahihi đồ ngốc trương thanh hùng nè

hùng ebudezain

hùng thông minh lắm

ahihi đồ ngốc trương thanh hùng nè

tôi thích vậy đó

hùng đẹp trai

class LoginCotnroller trong thư mục api như sau: 

tôi thích vậy đó

bài viết được viết bởi trương thanh hùng https://ebudezain.com/

only('email', 'password');

        try {
            // xác nhận thông tin người dùng gửi lên có hợp lệ hay không
            if (! $token = JWTAuth::attempt($credentials)) {
                return response()
                    ->error(
                        'có lỗi validate trong controller', 
                        ['error' => 'invalid_credentials'],
                        Response::HTTP_UNAUTHORIZED
                    )
                    ->setStatusCode(Response::HTTP_UNAUTHORIZED);
            }
        } catch (JWTException $e) {
            // Xử lý ngoại lệ 
            return response()
                    ->error(
                        'có lỗi validate trong controller', 
                        ['error' => 'could_not_create_token'],
                        Response::HTTP_INTERNAL_SERVER_ERROR
                    )
                    ->setStatusCode(Response::HTTP_INTERNAL_SERVER_ERROR);
        }

        return response()
                    ->success('Your custom login', $token)
                    ->setStatusCode(Response::HTTP_OK);
    }

    /**
     * Nếu bạn sử dụng function login ở trên nhìn thấy phức tạp hay thấy gớm, khó hiểu quá thì dùng function dưới này nhìn dễ hiểu hơn 1 tí :D
     */
    public function simpleLogin(Request $request){
        // lấy thông tin từ các request gửi lên
        $credentials = $request->only('email', 'password');

        try {
            // xác nhận thông tin người dùng gửi lên có hợp lệ hay không
            if (! $token = JWTAuth::attempt($credentials)) {
                return response()->json(['error' => 'invalid_credentials'], 401);
            }
        } catch (JWTException $e) {
            // Xử lý ngoại lệ 
            return response()->json(['error' => 'could_not_create_token'], 500);
        }

        // xác nhận thành công thì trả về 1 token hợp lệ
        return response()->json(compact('token'));
    }
}

 

tôi thích vậy đó

hùng đẹp trai

hùng ebudezain

hùng thông minh lắm

tôi thích vậy đó

Tạo token dự trên một đối tượng .

hùng ebudezain

tôi thích vậy đó

ahihi đồ ngốc trương thanh hùng nè

hùng thông minh lắm

hùng đẹp trai

ahihi đồ ngốc trương thanh hùng nè

tôi thích vậy đó

bài viết được viết bởi trương thanh hùng https://ebudezain.com/

Ngoài phương pháp thông thường, 
chúng ta còn có thể tạo một mã Token dựa trên một user instance như sau :

tôi thích vậy đó

tôi thích vậy đó

tôi thích vậy đó

hùng ebudezain

$user = User::where('email', '')->first();
if(!$user){
    return response()->json(['error' => 'user_not_found'], 500);
}

$token = JWTAuth::fromUser($user);

bài viết được viết bởi trương thanh hùng https://ebudezain.com/

bài viết được viết bởi trương thanh hùng https://ebudezain.com/

claims - ghi thêm dữ liệu vào token

hùng đẹp trai

bài viết được viết bởi trương thanh hùng https://ebudezain.com/

hùng ebudezain

$customClaims = ['foo' => 'bar', 'baz' => 'bob'];

// JWTAuth::attempt($credentials, $customClaims); -> phương thức để login
// or
JWTAuth::fromUser($user, $customClaims);

bài viết được viết bởi trương thanh hùng https://ebudezain.com/

Và đương nhiên, những dữ liệu bạn ghi thêm vào sẽ có mặt cùng với những dữ liệu khác khi giải mã token.

ahihi đồ ngốc trương thanh hùng nè

tôi thích vậy đó

hùng thông minh lắm

hùng ebudezain

hùng thông minh lắm

Lưu ý: Hết sức chú ý những dữ liệu bạn ghi thêm vào token vì chúng sẽ làm tăng độ dài cũng như dung lượng của token

đọc dữ liệu hộ bố

hùng ebudezain

ahihi đồ ngốc trương thanh hùng nè

hùng thông minh lắm

Tạo token từ 1 object bất kì

ahihi đồ ngốc trương thanh hùng nè

hùng đẹp trai

tôi thích vậy đó

hùng thông minh lắm

$customClaims = ['foo' => 'bar', 'baz' => 'bob'];

$payload = JWTFactory::make($customClaims);

$token = JWTAuth::encode($payload);

hùng ebudezain

hùng thông minh lắm

bài viết được viết bởi trương thanh hùng https://ebudezain.com/

hùng ebudezain

hùng thông minh lắm

Xác thực

bài viết được viết bởi trương thanh hùng https://ebudezain.com/

bài viết được viết bởi trương thanh hùng https://ebudezain.com/

ahihi đồ ngốc trương thanh hùng nè

bài viết được viết bởi trương thanh hùng https://ebudezain.com/

hùng đẹp trai

bài viết được viết bởi trương thanh hùng https://ebudezain.com/

tôi thích vậy đó

Có token rồi thì khi người dùng gọi api phải gửi lên kèm header hoặc query params 
Với token này thì server có thể check token đó đúng không ? nếu đúng thì lấy được thông tin đăng nhập .

ahihi đồ ngốc trương thanh hùng nè

đọc dữ liệu hộ bố

đọc dữ liệu hộ bố

hùng thông minh lắm

hùng ebudezain

tôi thích vậy đó

đọc dữ liệu hộ bố

ahihi đồ ngốc trương thanh hùng nè

hùng đẹp trai

tôi thích vậy đó

Đoạn mã đó có dạng như sau :

đọc dữ liệu hộ bố

đọc dữ liệu hộ bố

đọc dữ liệu hộ bố

tôi thích vậy đó

đọc dữ liệu hộ bố

đọc dữ liệu hộ bố

hùng ebudezain

hùng đẹp trai

tôi thích vậy đó

đọc dữ liệu hộ bố

tôi thích vậy đó

tôi thích vậy đó

ahihi đồ ngốc trương thanh hùng nè

tôi thích vậy đó

Authorization: Bearer {your_token_here}

đọc dữ liệu hộ bố

bài viết được viết bởi trương thanh hùng https://ebudezain.com/

ahihi đồ ngốc trương thanh hùng nè

hùng đẹp trai

hùng thông minh lắm

ahihi đồ ngốc trương thanh hùng nè

ví dụ cụ thể: 

hùng thông minh lắm

hùng thông minh lắm

đọc dữ liệu hộ bố

GET /api/v1/users HTTP/1.1
Host: localhost:80
User-Agent: rest-client
Accept-Language: en-GB,en-US;q=0.8,en;q=0.6,zh-CN;q=0.4
Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJodHRwOlwvXC9sb2NhbGhvc3RcL2FwaVwvdjFcL2xvZ2luIiwiaWF0IjoxNjI1NTMwNDY2LCJleHAiOjE2MjU1MzQwNjYsIm5iZiI6MTYyNTUzMDQ2NiwianRpIjoibFhCZUlmMFFOMk9rTGlOZSIsInN1YiI6MiwicHJ2IjoiMjNiZDVjODk0OWY2MDBhZGIzOWU3MDFjNDAwODcyZGI3YTU5NzZmNyJ9.nAGhQWgLSPd-yX_xMRvNn82NZpXjMBKY61G0FHiIxV0
content-type: application/json
################################

đọc dữ liệu hộ bố

Hoặc nếu bạn không muốn sử dụng header thì có thể sử dụng query string . Ví dụ

hùng ebudezain

hùng thông minh lắm

hùng đẹp trai

http://domain.xyz/users?token={your_token_here}

hùng ebudezain

Để lấy token từ đoạn mã gửi lên thì bạn có thể làm như sau:

bài viết được viết bởi trương thanh hùng https://ebudezain.com/

tôi thích vậy đó

ahihi đồ ngốc trương thanh hùng nè

JWTAuth::parseToken();
$user = JWTAuth::parseToken()->authenticate();

hùng thông minh lắm

đọc dữ liệu hộ bố

bài viết được viết bởi trương thanh hùng https://ebudezain.com/

đọc dữ liệu hộ bố

Để lấy giá trị token thì có thể làm như sau :

ahihi đồ ngốc trương thanh hùng nè

tôi thích vậy đó

hùng đẹp trai

$token = JWTAuth::getToken();

bài viết được viết bởi trương thanh hùng https://ebudezain.com/

bài viết được viết bởi trương thanh hùng https://ebudezain.com/

đọc dữ liệu hộ bố

tôi thích vậy đó

public function getAuthenticatedUser()
{
    try {

        if (! $user = JWTAuth::parseToken()->authenticate()) {
            return response()->json(['user_not_found'], 404);
        }

    } catch (Tymon\JWTAuth\Exceptions\TokenExpiredException $e) {

        return response()->json(['token_expired'], $e->getStatusCode());

    } catch (Tymon\JWTAuth\Exceptions\TokenInvalidException $e) {

        return response()->json(['token_invalid'], $e->getStatusCode());

    } catch (Tymon\JWTAuth\Exceptions\JWTException $e) {

        return response()->json(['token_absent'], $e->getStatusCode());

    }

    return response()->json(compact('user'));
}

tôi thích vậy đó

exception global

hùng thông minh lắm

hùng ebudezain

hùng thông minh lắm

hùng đẹp trai

bài viết được viết bởi trương thanh hùng https://ebudezain.com/

hùng ebudezain

Mình sẽ viết 1 bài nói về cách dùng exception trong laravel trông có vẻ xịn hơn khi viết api hay xử lý các vấn đề về error để code clean hơn. Riêng phần này mình nói ngắn gọn để bắt lỗi exception global là bạn vào file app/Exceptions/Handler.php: bnaj thêm khúc này vào để xuất json: 

hùng ebudezain

hùng thông minh lắm

public function render($request, Exception $e)
{
    if ($e instanceof Tymon\JWTAuth\Exceptions\TokenExpiredException) {
        return response()->json(['token_expired'], $e->getStatusCode());
    } else if ($e instanceof Tymon\JWTAuth\Exceptions\TokenInvalidException) {
        return response()->json(['token_invalid'], $e->getStatusCode());
    }

    return parent::render($request, $e);
}