Laravelで認証が必要なAPIをごにょごにょ

どうもこんにちは。
Laravelばっかりです。

今回は、API認証です。
Laravel 5.8から、API認証のドキュメントがPassportを使わない方法になってます。
ちょっとお試しです。

Migration

公式ドキュメントのとおりにやります。
■コマンド
php artisan make:migration prepare_users_table_for_api_token --table users

作成されたファイルを編集です。

<?php

use Illuminate\Support\Facades\Schema;
use Illuminate\Database\Schema\Blueprint;
use Illuminate\Database\Migrations\Migration;

class PrepareUsersTableForApiToken extends Migration
{
    /**
     * Run the migrations.
     *
     * @return void
     */
    public function up()
    {
        Schema::table('users', function (Blueprint $table) {
            $table->string('api_token', 80)->after('password')
                ->unique()
                ->nullable()
                ->default(null)->comment('API トークン');
        });
    }

    /**
     * Reverse the migrations.
     *
     * @return void
     */
    public function down()
    {
        Schema::table('users', function (Blueprint $table) {
            $table->dropColumn('api_token');
        });
    }
}

<?php

use Illuminate\Support\Facades\Schema;

use Illuminate\Database\Schema\Blueprint;

use Illuminate\Database\Migrations\Migration;

class PrepareUsersTableForApiToken extends Migration

{

/**

* Run the migrations.

* @return void

public function up()

{

Schema::table('users', function (Blueprint $table) {

$table->string('api_token', 80)->after('password')

->unique()

->nullable()

->default(null)->comment('API トークン');

});

}

/**

* Reverse the migrations.

* @return void

public function down()

{

Schema::table('users', function (Blueprint $table) {

$table->dropColumn('api_token');

});

}

あとはmigrate。

php artisan migrate

ここまでで準備完了です。

トークンの設定

今回、画面から要認証なAPIを使いたいので、トークン発行後Cookieに仕込みたいと思います。
とりあえず、画面アクセスのたびにCookieの有無を確認し、なければ発行する、
というような仕掛けにしようと思います。

■middleware
php artisan make:middleware GenerateApiToken

作成されたファイルを編集です。
ランダムな文字列を作って、Userモデル更新と同時にCookieに保存します。
Cookieの作り方は、CSRFトークンを作っているあたりを参考にしています。

<?php

namespace App\Http\Middleware;

use Carbon\Carbon;
use Closure;
use Illuminate\Support\Facades\Auth;
use Illuminate\Support\Str;
use Symfony\Component\HttpFoundation\Cookie;

class GenerateApiToken
{
    /**
     * Handle an incoming request.
     *
     * @param  \Illuminate\Http\Request  $request
     * @param  \Closure  $next
     * @return mixed
     */
    public function handle($request, Closure $next)
    {
        $response = $next($request);

        $user = Auth::user();
        if ($user) {
            if (!$request->cookie('api_token')) {
                $apiToken = Str::random(60);
                $user->update(['api_token' => $apiToken]);
                $response->headers->setCookie(
                    new Cookie('api_token',
                        $apiToken,
                        Carbon::now()->addRealMinutes(config('session.lifetime'))->getTimestamp(),
                        config('session.path'),
                        config('session.domain'),
                        config('session.secure'),
                        false,
                        false,
                        config('session.same_site') ?? null
                    ));
            }
        }

        return $response;
    }
}

<?php

namespace App\Http\Middleware;

use Carbon\Carbon;

use Closure;

use Illuminate\Support\Facades\Auth;

use Illuminate\Support\Str;

use Symfony\Component\HttpFoundation\Cookie;

class GenerateApiToken

{

/**

* Handle an incoming request.

* @param \Illuminate\Http\Request $request

* @param \Closure $next

* @return mixed

public function handle($request, Closure $next)

{

$response = $next($request);

$user = Auth::user();

if ($user) {

if (!$request->cookie('api_token')) {

$apiToken = Str::random(60);

$user->update(['api_token' => $apiToken]);

$response->headers->setCookie(

new Cookie('api_token',

$apiToken,

Carbon::now()->addRealMinutes(config('session.lifetime'))->getTimestamp(),

config('session.path'),

config('session.domain'),

config('session.secure'),

false,

config('session.same_site') ?? null

));

}

return $response;

}

app\Http\Kernel.phpに追加します。

        'web' => [
            \App\Http\Middleware\EncryptCookies::class,
            \Illuminate\Cookie\Middleware\AddQueuedCookiesToResponse::class,
            \Illuminate\Session\Middleware\StartSession::class,
            // \Illuminate\Session\Middleware\AuthenticateSession::class,
            \Illuminate\View\Middleware\ShareErrorsFromSession::class,
            \App\Http\Middleware\VerifyCsrfToken::class,
            \Illuminate\Routing\Middleware\SubstituteBindings::class,
            GenerateApiToken::class, // <- 追加
        ],

'web' => [

\App\Http\Middleware\EncryptCookies::class,

\Illuminate\Cookie\Middleware\AddQueuedCookiesToResponse::class,

\Illuminate\Session\Middleware\StartSession::class,

// \Illuminate\Session\Middleware\AuthenticateSession::class,

\Illuminate\View\Middleware\ShareErrorsFromSession::class,

\App\Http\Middleware\VerifyCsrfToken::class,

\Illuminate\Routing\Middleware\SubstituteBindings::class,

GenerateApiToken::class, // <- 追加

あと、Cookieの暗号化の対象から外します。
これ、やらないと動きませんでした。本当はトークンをハッシュ化したり
そもそもLaravel Passportとかそっちでがんばれ
という話かもしれませんが、今回は、ライトに、ライトに。

app\Http\Middleware\EncryptCookies.php の $exceptに追加します。

    protected $except = [
        'api_token',
    ];

protected $except = [

'api_token',

];

APIのルーティング

認証が必要なAPIには、auth:apiのミドルウェアが必要です。
私のバージョンのroutes/api.phpには

Route::middleware('auth:api')->get('/user', function (Request $request) {
    return $request->user();
});

Route::middleware('auth:api')->get('/user', function (Request $request) {

return $request->user();

});

すでにいらっしゃいました。auth:apiを持ったAPIが。
他にも、認証が必要なAPIは、ルーティング設定で記述するなり、
Controllerのコンストラクタに記述するなり、好きにしたらいいじゃない。

javascript

ここまでLaravelの設定でしたが、あとはJavascriptからajax通信をしましょう。
いうまでもなく、みんな大好きjQueryです。

    $.ajax({
        'url': '', // <- ルーティング次第
        'type': 'post', // <- ルーティング次第
        'dataType': 'json',
        'data': {
            // リクエストのBODY部
        },
        'headers': {
            'Authorization': 'Bearer ' + Cookies.get('api_token'), // <- これ
        },
    }).done(function(response){
        alert('success');
    }).fail(function(response){
        alert('error');
    });

$.ajax({

'url': '', // <- ルーティング次第

'type': 'post', // <- ルーティング次第

'dataType': 'json',

'data': {

// リクエストのBODY部

'headers': {

'Authorization': 'Bearer ' + Cookies.get('api_token'), // <- これ

}).done(function(response){

alert('success');

}).fail(function(response){

alert('error');

});

あ、Cookieの取得には、js-cookieを使ってます。
詳しくはコチラ ⇒ GitHub – js-cookie/js-cookie: A simple, lightweight JavaScript API for handling browser cookies

headersに、リクエストヘッダに’Authorization: Bearer [APIトークン]’が含まれるように
値を放り込んでいます。
ミドルウェアは、このヘッダのトークンを見て、確認をするようですね。

最後に

トークンの有効期限をサーバでもチェックしたり、
usersテーブルのapi_tokenをハッシュ化しておいたり、
ログアウトした時はさすがにapi_tokenをnullにしてみたり、
ユーザが任意にトークンの更新をできるようにしたり、
なにかもろもろ足りない感はありますが
ライトにいくなら、こんなものでしょうか。

Laravel Passportは時間があったら試します。

r.tanakaがお届けしました。

ごきげんよう

Laravelで認証が必要なAPIをごにょごにょ

Migration

トークンの設定

APIのルーティング

javascript

最後に