基于 Laravel 12 搭建微服务时 API 网关认证与授权完整实现指南

最新推荐文章于 2025-06-23 19:51:31 发布
最新推荐文章于 2025-06-23 19:51:31 发布
阅读量496 收藏 11
点赞数 14
CC 4.0 BY-SA版权
分类专栏: Laravel 素养 PHP 经验 文章标签: laravel 微服务 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jjj_web/article/details/148835799

API 网关认证与授权完整实现指南

在微服务架构中,API 网关是处理认证和授权的理想位置。下面我将详细解释如何在 Laravel API 网关中实现强大的认证和授权系统。

认证与授权架构设计
客户端
API网关
认证服务
授权服务
用户数据库
权限策略
后端服务

一、认证实现方案

1. JWT 认证流程

  1. 客户端发送凭证到网关
  2. 网关转发到认证服务
  3. 认证服务验证并生成 JWT
  4. 网关返回 JWT 给客户端
  5. 客户端在后续请求携带 JWT
  6. 网关验证 JWT 并转发请求

2. 认证中间件实现

app/Http/Middleware/AuthenticateJWT.php

<?php

namespace App\Http\Middleware;

use Closure;
use Illuminate\Http\Request;
use Firebase\JWT\JWT;
use Firebase\JWT\Key;
use Firebase\JWT\ExpiredException;
use Firebase\JWT\SignatureInvalidException;

class AuthenticateJWT
{
    /**
     * 处理传入请求
     */
    public function handle(Request $request, Closure $next)
    {
        // 排除不需要认证的路由
        if ($this->shouldPassThrough($request)) {
            return $next($request);
        }

        // 获取 JWT Token
        $token = $this->getTokenFromRequest($request);

        if (!$token) {
            return response()->json(['error' => 'Authorization token required'], 401);
        }

        try {
            // 验证 Token
            $decoded = $this->verifyToken($token);
            
            // 将用户信息添加到请求中
            $request->merge(['user' => (array)$decoded]);
            $request->setUserResolver(function () use ($decoded) {
                return (object)['id' => $decoded->sub];
            });

            return $next($request);
        } catch (ExpiredException $e) {
            return response()->json(['error' => 'Token expired'], 401);
        } catch (SignatureInvalidException $e) {
            return response()->json(['error' => 'Invalid token signature'], 401);
        } catch (\Exception $e) {
            return response()->json(['error' => 'Unauthorized'], 401);
        }
    }

    /**
     * 验证 JWT Token
     */
    private function verifyToken(string $token)
    {
        $secret = env('JWT_SECRET');
        $algorithm = env('JWT_ALGORITHM', 'HS256');
        
        return JWT::decode($token, new Key($secret, $algorithm));
    }

    /**
     * 从请求中提取 Token
     */
    private function getTokenFromRequest(Request $request): ?string
    {
        $header = $request->header('Authorization', '');
        
        if (preg_match('/Bearer\s+(\S+)/', $header, $matches)) {
            return $matches[1];
        }
        
        return $request->input('token');
    }

    /**
     * 确定请求是否不需要认证
     */
    private function shouldPassThrough(Request $request): bool
    {
        $route = $request->route()->uri();
        $excludedRoutes = [
            'auth/login',
            'auth/register',
            'auth/refresh',
            'auth/password/reset',
            'health'
        ];

        foreach ($excludedRoutes as $excluded) {
            if (strpos($route, $excluded) === 0) {
                return true;
            }
        }

        return false;
    }
}

3. 在网关中注册中间件

app/Http/Kernel.php

protected $middlewareGroups = [
    'api' => [
        // 其他中间件...
        \App\Http\Middleware\AuthenticateJWT::class,
    ],
];

二、授权实现方案

1. 基于角色的访问控制 (RBAC)

app/Services/AuthorizationService.php

<?php

namespace App\Services;

class AuthorizationService
{
    // 角色-权限映射
    private $rolePermissions = [
        'admin' => ['*'],
        'manager' => [
            'order.view', 'order.create', 
            'order.update', 'product.view'
        ],
        'user' => [
            'order.view.own', 'order.create', 
            'product.view', 'profile.update'
        ]
    ];

    /**
     * 检查用户是否有权限访问
     */
    public function checkPermission(string $permission, array $user): bool
    {
        $roles = $user['roles'] ?? [];
        
        foreach ($roles as $role) {
            // 管理员拥有全部权限
            if ($role === 'admin') {
                return true;
            }
            
            // 检查角色是否有权限
            $permissions = $this->rolePermissions[$role] ?? [];
            
            if (in_array($permission, $permissions) || in_array('*', $permissions)) {
                return true;
            }
        }
        
        return false;
    }
}

2. 授权中间件实现

app/Http/Middleware/AuthorizeRequest.php

<?php

namespace App\Http\Middleware;

use Closure;
use Illuminate\Http\Request;
use App\Services\AuthorizationService;

class AuthorizeRequest
{
    protected $authorizationService;
    
    public function __construct(AuthorizationService $authService)
    {
        $this->authorizationService = $authService;
    }

    public function handle(Request $request, Closure $next)
    {
        // 获取请求需要的权限
        $requiredPermission = $this->getRequiredPermission($request);
        
        // 如果路由不需要特定权限,直接放行
        if (!$requiredPermission) {
            return $next($request);
        }
        
        // 获取用户信息
        $user = $request->input('user');
        
        if (!$user) {
            return response()->json(['error' => 'User information missing'], 403);
        }
        
        // 检查权限
        if (!$this->authorizationService->checkPermission($requiredPermission, $user)) {
            return response()->json(['error' => 'Unauthorized action'], 403);
        }
        
        return $next($request);
    }
    
    /**
     * 获取路由需要的权限
     */
    private function getRequiredPermission(Request $request): ?string
    {
        $action = $request->route()->getAction();
        
        return $action['permission'] ?? null;
    }
}

3. 路由权限映射

routes/api.php

Route::any('order/{any}', [GatewayController::class, 'handle'])
    ->where('any', '.*')
    ->middleware('authorize:order.view');

Route::post('order/create', [GatewayController::class, 'handle'])
    ->middleware('authorize:order.create');

Route::put('order/{id}', [GatewayController::class, 'handle'])
    ->middleware('authorize:order.update');

Route::delete('order/{id}', [GatewayController::class, 'handle'])
    ->middleware('authorize:order.delete');

三、高级授权特性

1. 基于属性的访问控制 (ABAC)

class AdvancedAuthorizationService
{
    public function checkAccess(array $user, string $action, mixed $resource): bool
    {
        $policies = config('authorization.policies');
        
        foreach ($policies as $policy) {
            // 检查策略是否适用于此请求
            if ($this->policyApplies($policy, $user, $action, $resource)) {
                return $this->evaluatePolicy($policy, $user, $resource);
            }
        }
        
        return false;
    }
    
    private function policyApplies(array $policy, array $user, string $action, mixed $resource): bool
    {
        // 检查动作匹配
        if (!in_array($action, $policy['actions'])) {
            return false;
        }
        
        // 检查角色匹配
        if (isset($policy['roles']) && !array_intersect($policy['roles'], $user['roles'])) {
            return false;
        }
        
        // 检查条件函数
        if (isset($policy['condition']) && !$policy['condition']($user, $resource)) {
            return false;
        }
        
        return true;
    }
    
    private function evaluatePolicy(array $policy, array $user, mixed $resource): bool
    {
        return $policy['result'];
    }
}

2. 动态权限配置

创建权限配置文件:

config/authorization.php

return [
    'policies' => [
        [
            'name' => 'View Own Orders',
            'actions' => ['order.view'],
            'roles' => ['user'],
            'condition' => function ($user, $resource) {
                return $resource->user_id === $user['id'];
            },
            'result' => true
        ],
        [
            'name' => 'Edit Products',
            'actions' => ['product.update'],
            'roles' => ['manager'],
            'result' => true
        ],
        [
            'name' => 'Delete Users',
            'actions' => ['user.delete'],
            'roles' => ['admin'],
            'result' => true
        ]
    ]
];

四、安全增强措施

1. Token 刷新机制

app/Http/Controllers/AuthController.php

public function refreshToken(Request $request)
{
    $refreshToken = $request->input('refresh_token');
    
    try {
        // 验证刷新令牌
        $decoded = $this->verifyToken($refreshToken, env('JWT_REFRESH_SECRET'));
        
        // 创建新访问令牌
        $newAccessToken = $this->generateAccessToken($decoded->sub);
        
        // 可选:创建新的刷新令牌
        $newRefreshToken = $this->generateRefreshToken($decoded->sub);
        
        return response()->json([
            'access_token' => $newAccessToken,
            'refresh_token' => $newRefreshToken,
            'expires_in' => env('JWT_ACCESS_EXPIRY', 3600)
        ]);
    } catch (\Exception $e) {
        return response()->json(['error' => 'Invalid refresh token'], 401);
    }
}

private function generateAccessToken($userId): string
{
    $payload = [
        'sub' => $userId,
        'iat' => time(),
        'exp' => time() + env('JWT_ACCESS_EXPIRY', 3600),
        'type' => 'access'
    ];
    
    return JWT::encode($payload, env('JWT_SECRET'), env('JWT_ALGORITHM'));
}

private function generateRefreshToken($userId): string
{
    $payload = [
        'sub' => $userId,
        'iat' => time(),
        'exp' => time() + env('JWT_REFRESH_EXPIRY', 2592000), // 30天
        'type' => 'refresh'
    ];
    
    return JWT::encode($payload, env('JWT_REFRESH_SECRET'), env('JWT_ALGORITHM'));
}

2. 速率限制

app/Http/Middleware/ThrottleRequests.php

class ThrottleRequests extends \Illuminate\Routing\Middleware\ThrottleRequests
{
    protected function resolveRequestSignature($request)
    {
        // 优先使用用户ID,没有则使用IP
        if ($user = $request->user()) {
            return $user->id;
        }
        
        return $request->ip();
    }
}

路由配置:

Route::middleware('throttle:10,1')->group(function () {
    // 每分钟最多10次请求
    Route::post('auth/login', [AuthController::class, 'login']);
    Route::post('auth/register', [AuthController::class, 'register']);
});

Route::middleware('throttle:60,1')->group(function () {
    // 每分钟最多60次请求
    Route::get('products', [ProductController::class, 'index']);
});

3. 安全头设置

app/Http/Middleware/SecureHeaders.php

class SecureHeaders
{
    public function handle($request, Closure $next)
    {
        $response = $next($request);
        
        $response->headers->set('X-Content-Type-Options', 'nosniff');
        $response->headers->set('X-Frame-Options', 'DENY');
        $response->headers->set('X-XSS-Protection', '1; mode=block');
        $response->headers->set('Strict-Transport-Security', 'max-age=31536000; includeSubDomains');
        $response->headers->set('Content-Security-Policy', "default-src 'self'");
        $response->headers->set('Referrer-Policy', 'strict-origin-when-cross-origin');
        
        return $response;
    }
}

五、最佳实践与建议

  1. 密钥管理

    • 使用 Laravel Vault 或 AWS Secrets Manager 存储密钥
    • 定期轮换密钥
    • 不同环境使用不同密钥

  2. 令牌安全

    • 设置合理的访问令牌有效期(通常15-30分钟)
    • 设置较长的刷新令牌有效期(7-30天)
    • 使用 HTTP-only cookie 存储刷新令牌

  3. 监控与审计

    // 记录所有授权失败
public function handle(...)
{
    // ...授权逻辑...
    
    if (!$authorized) {
        Log::warning('Authorization failed', [
            'user_id' => $user['id'],
            'required_permission' => $requiredPermission,
            'path' => $request->path(),
            'ip' => $request->ip()
        ]);
        
        return response()->json(...);
    }
}

  4. 双重认证

    public function login(Request $request)
{
    // ...验证基础凭证...
    
    if ($user->two_factor_enabled) {
        // 生成并发送验证码
        $code = generate2FACode();
        send2FACode($user->phone, $code);
        
        return response()->json([
            'message' => '2FA required',
            '2fa_required' => true,
            'auth_token' => $this->createTempToken($user->id)
        ]);
    }
    
    // ...生成访问令牌...
}

public function verify2FA(Request $request)
{
    // 验证临时令牌
    $user = validateTempToken($request->input('auth_token'));
    
    // 验证2FA代码
    if ($request->input('code') !== $correctCode) {
        return response()->json(['error' => 'Invalid 2FA code'], 401);
    }
    
    // ...生成访问令牌...
}

六、测试你的实现

1. 登录测试

curl -X POST http://gateway:8000/auth/login \
  -H "Content-Type: application/json" \
  -d '{"email": "user@example.com", "password": "password"}'

2. 访问受保护资源

curl http://gateway:8000/orders \
  -H "Authorization: Bearer <your_access_token>"

3. 权限测试

# 尝试管理员操作(普通用户应失败)
curl -X DELETE http://gateway:8000/users/123 \
  -H "Authorization: Bearer <user_token>"
  
# 预期响应
{"error": "Unauthorized action"}

七、生产环境部署建议

  1. 密钥存储

    • 使用环境变量或密钥管理服务
    • 切勿将密钥提交到代码仓库

  2. HTTPS 强制

    // app/Providers/AppServiceProvider.php
public function boot()
{
    if (app()->environment('production')) {
        URL::forceScheme('https');
    }
}

  3. Security Headers

    • 使用 Helmet.js 或等效中间件
    • 定期扫描安全头配置(使用 securityheaders.com)

  4. 监控集成

    # 安装 Laravel Telescope
composer require laravel/telescope
php artisan telescope:install
php artisan migrate

  5. 定期审计

    • 每月检查令牌使用情况
    • 季度安全审计
    • 漏洞扫描

通过以上实现,API 网关将具备强大的认证和授权能力,确保微服务架构的安全性。根据业务需求,可以灵活调整权限模型、添加多因素认证或集成第三方身份提供商(如 Auth0 或 Okta)。

后端开发中PHP的高效编码技巧
后端开发笔记博客记录
05-10 624
本文旨在为PHP后端开发者提供一套全面的高效编码技巧,帮助开发者提升代码质量、开发效率和系统性能。内容涵盖从基础语法优化到高级架构设计,从单机应用到分布式系统开发的全方位PHP编码技巧。文章首先介绍PHP高效编码的基本概念,然后深入探讨性能优化、设计模式、框架使用等核心技巧,最后通过实际案例展示这些技巧的综合应用。每个部分都配有详细的代码示例和性能对比数据。OPcache:PHP内置的字节码缓存机制,可显著提高脚本执行速度Composer:PHP的依赖管理工具,现代PHP开发的标配PSR。
【愚公系列】《AIGC辅助软件开发》011-AI辅助编写技术文档:技术文档
热门推荐
时光隧道
07-24 6万+
在当今快速发展的技术环境中,技术文档的编写变得愈加重要。无论是软件开发、产品设计,还是系统架构,清晰、准确的技术文档不仅能帮助团队成员快速理解项目,还能为用户提供必要的使用指导。然而,编写高质量的技术文档常常是一项繁琐且耗的任务。随着人工智能技术的不断进步,AI工具的辅助作用逐渐显现,特别是在技术文档的编写过程中。借助AI,开发者和技术作家可以更高效地生成、编辑和维护文档,从而专注于更高层次的创作和思考。
微服务架构10个最重要的设计模式
weixin_45727359的博客
01-04 347
自从软件开发的早期(1960年代)以来,解决大型软件系统中的复杂性一直是一项艰巨的任务。多年来,软件工程师和架构师为解决软件系统的复杂性进行了许多尝试:David Parnas的模块化和...
PHP 和 Python 哪个更适合做 AI 项目?Python 写 APIPHP 调用靠谱吗?
半抹灯芯的博客
05-23 808
最近有粉丝问我:"想做个 AI 聊天机器人项目,用 PHP 还是 Python 好?听说 Python 更适合 AI,但公司现有系统都是 PHP 的,能不能用 Python 写 AI 接口给 PHP 调用?" 这个问题其实代表了很多中小团队的技术选型困惑,今天就从底层逻辑到实战方案,把这事彻底讲清楚。
从零开始学习网络安全渗透测试之基础入门篇——(一)Web应用&架构搭建&站库分离&配置受限&DNS解析
love6a6的博客
07-26 1180
Web应用,全称Web应用程序(Web Application),指的是通过Web浏览器进行访问和使用的应用软件。它们通常基于Web技术,如HTML、CSS和JavaScript,运行在服务器上,用户可以通过网络(例如互联网)使用各种设备(如个人电脑、平板电脑、智能手机等)访问这些应用。
全栈工程师指南
kaliopensourcextu
04-19 9611
全栈工程师指南 这是一本不止于全栈工程师的学习手册,它也包含了如何成为一个 Growth Hacker 的知识。 全栈工程师是未来 谨以此文献给每一个为成为优秀全栈工程师奋斗的人。 技术在过去的几十年里进步很快,也将在未来的几十年里发展得更快。今天技术的门槛下降得越来越快,原本需要一个团队做出来的 Web 应用,现在只需要一两个人就可以了。 同,由于公司组织结构的变迁,以及到变
架构学习资料精选
feiying
08-16 3184
架构师技术图谱,助你早日成为架构师 本项目是《码农周刊》架构学习资料精选,码农周刊团队官方出品。架构师必读,助你早日成为架构师! 架构师技术图谱包括:分布式、前端、大数据、存储、微服务、推荐系统、框架、消息队列、编程语言、设计模式、重构、集群等内容。 体验小程序版「架构师技术图谱」,扫描下方微信小程序码即可。 欢迎订阅《码农周刊》!订阅地址 如何加入读者群? 关注下方微信公众号,回复 “入群...
多语言协同学习策略:从Python入门到Golang实战
Program Han
04-20 957
* 通过系统化的学习路径和综合性项目实践,学习者将建立起对四门语言的深刻理解,能够在不同场景下灵活应用,成为真正的全栈开发专家。同学习Java、Python、Golang和PHP这四种编程语言,需要制定科学的学习路径和实践方案,以充分利用它们的差异互补性,避免学习过程中的混乱重复。**建立系统的语言对比知识体系和高效的学习笔记系统,是多语言学习的关键支撑。"的四阶段学习模式。- **并行学习**:在掌握Python基础后,可同进行Java和PHP的初级学习,但应以Java为主,PHP为辅。
java基础巩固-宇宙第一AiYWM:为了维持生计,架构知识+分布式微服务+高并发高可用高性能知识序幕就此拉开(一:总览篇)~整起
https://aiminminai.gitee.io/aiminminai/
06-06 1814
java基础巩固-宇宙第一AiYWM:为了维持生计,架构发展的小故事~整起
Laravel SanctumGetCandy API快速搭建指南
4. **集线器准备**:样板已经做好了集线器(可能是指API网关微服务架构中的某个组件)一起使用的准备。这意味着可以容易地将此API集成到更复杂的系统架构中。 ### 文件名称列表 在提供的文件名称列表中,我们...
Lumen微框架:打造极速API网关微服务
Lumen专为API网关微服务间的通信优化,提供了一个快速简洁的解决方案,确保了高性能和低资源消耗。它适用于那些需要快速启动和运行的项目,尤其是那些对外部依赖和配置需求较少的项目。 2. 开发理念: Lumen框架的...
Laravel内容包开发指南
- **集成第三方服务**:Laravel 支持社交媒体和其他第三方服务集成,方便实现例如社交登录、支付网关等附加功能。 - **主题和模板**:Laravel 的 Blade 模板可以很方便地应用主题和模板,从而加速开发过程。 - **...
快速构建轻量级全栈PHP框架EasyPHP指南
- api-gateway:可能指easy-php可以作为一个API网关使用,简化微服务的管理和通信。 - gateway:表明框架可能具备网关功能。 - php-scripts:指代使用PHP编写的脚本。 - vue2:代表该框架可能Vue.js 2.x版本配合...
基于 Celery 的微服务通信模式实践
沛哥儿的专栏
06-19 925
文章围绕基于 Celery 的微服务通信模式实践展开。首先指出微服务架构成主流,但服务间通信是挑战,而 Celery 可为异步通信提供方案。接着介绍微服务架构优点及挑战,以及 Celery 组成和工作流程。基于 Celery 的通信模式采用异步消息队列,实现服务解耦、异步处理和可伸缩性,不过会增加系统复杂性和数据一致性风险。案例以电商系统为例,展示其架构设计代码实现,验证了该模式可提高性能和降低耦合度。最后总结该模式能实现松耦合通信,但有不足,未来可进一步研究优化。
Feign进行微服务转发的实现
Hellyc的博客
06-22 308
在我学习的项目中,单独拆分一个api模块,该模块用于存放公用工具以及各种服用模块,client自然也放在其中,这算是横向拆分的一种。但是问题是,现在的client存放在单独的复用模块,在我的项目中命名为api模块,那么api模块是不需要去启动的,那么A模块如何去自动注入client代理的实例?显然需要让A模块找到需要的client对象。重点,容易遗忘的一点:假设A模块调用B模块的内容,调用过程是A请求client,client通过网络连接请求B,B执行对应接口内容,返回A具体执行结果。
Spring Cloud微服务
最新发布
weixin_51277037的博客
06-23 236
在springboot项目中需要配置配置依赖nacos和loadbalancer。Nacos服务需要下载。,并动态发现可用服务。
Java求职者面试指南微服务技术源码原理深度解析
yjdevil159的博客
06-21 788
本文为Java求职者提供了一份详细的面试指南,涵盖了微服务技术、计算机基础和源码原理等多个方面。通过这三轮的提问,求职者可以全面展示自己的专业知识和技能,提高面试的成功率。
微服务链路追踪在生产环境问题定位中的实战经验
qq_35716689的博客
06-23 656
本文介绍了在生产环境中如何利用微服务链路追踪技术对问题进行精准定位,涵盖业务场景、技术选型、实现方案、踩坑经验和最佳实践。
什么是 OpenFeigin ?微服务中的具体使用方式
2401_85327573的博客
06-18 641
Feign 是一种声明式的 HTTP 客户端框架,主要用于简化微服务架构中服务之间的远程调用,也可以通过定义接口和注解的方式调用远程服务,无需手动构建 HTTP 请求或解析响应数据。Spring Cloud 对 Feign 进行了增强,集成了 负载均衡和 服务发现,并支持 Spring MVC 注解。
__ac_signature
04-27
__ac_signature是一个在Plone系统中用于身份验证的重要参数。当用户登录系统,系统会为每个请求生成一个随机的session ID,即__ac,在每个请求中都携带着。__ac_signature则是一个用于验证__ac合法性的签名字符串。 __ac_signature是通过对__ac和一些其他参数进行哈希计算生成的,具体计算方法包括:获取请求的访问路径、查询参数、POST请求数据、间戳等,将它们按照指定的顺序和格式进行拼接,再加上一个系统级别的密钥,使用SHA算法进行哈希计算得到。 当客户端发起请求,系统会通过计算客户端提供的__ac和其他参数,生成一个__ac_signature,然后客户端提供的__ac_signature进行比较,以验证该请求的合法性。因为__ac_signature是依赖于具体请求参数的,所以即使攻击者知道了一个用户的__ac,也无法伪造出合法的__ac_signature,从而保证了系统的安全性。 总之,__ac_signature是Plone系统中保障用户身份安全的一个重要参数,它通过验证__ac的合法性来防止恶意用户对系统的攻击,从而保护了系统的安全和稳定运行。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值