Laravel JWT 多用户表验证隔离解决方案

本文主要探讨了在 Laravel 项目中，使用 JWT（Json Web Token）进行多表（多用户端）验证隔离的实现方法。当一个 Laravel 应用包含多个用户表，例如移动端用户和管理端用户，如果不进行验证隔离，可能会出现移动端的 Token 能够访问管理端接口，从而引发越权问题。这是因为 Laravel 默认的 JWT 实现只存储数据表的主键值，无法区分 Token 是哪个表或验证器生成的。 ### 问题分析 1. 多用户表需求：在一个 Laravel 项目中，可能有多个用户表，比如 `users` 表用于普通用户，`admins` 表用于管理员，它们都有独立的身份验证需求。 2. JWT 默认行为：Laravel 的 JWT 默认将用户表的主键值作为 `sub` 字段存储在 Token 中，不包含表信息，导致无法区分 Token 来源。 3. 安全风险：如果移动端和管理端使用相同的 Token，那么一个端的 Token 可能会被误用在另一个端，产生越权访问。 ### 解决方案 1. 添加自定义字段：为了解决这个问题，我们需要在生成 Token 时添加自定义信息，比如一个表示用户类型的字段，如 `user_type`。 2. 实现 JWTSubject 接口：用户模型需要实现 `Tymon\JWTAuth\Contracts\JWTSubject` 接口，以便能够设置和获取自定义的 Token 数据。 ```php class User extends Authenticatable implements JWTSubject { // ... public function getJWTCustomClaims() { return ['user_type' => $this->user_type]; } // ... } ``` 3. 自定义中间件验证：创建自定义的中间件，验证 Token 中的 `user_type` 是否与当前请求所需的用户类型匹配。 ```php class ValidateTokenTypeMiddleware { public function handle($request, Closure $next) { $userType = auth()->payload()->get('user_type'); if (!in_array($userType, ['mobile', 'admin'])) { return response()->json(['error' => 'Unauthorized'], 401); } return $next($request); } } ``` 4. 配置 Guard：根据用户类型设置不同的 Guard，确保每个 Guard 使用相应的用户表进行验证。 ### 应用场景 1. 移动端验证：移动端用户登录后，生成的 Token 包含 `user_type` 为 `mobile`，只能访问移动端相关的 API。 2. 管理端验证：管理员登录后，生成的 Token 包含 `user_type` 为 `admin`，仅允许访问管理端接口。 ### 结论 通过在 JWT Token 中添加自定义字段，并配合自定义中间件和 Guard，可以有效地实现 Laravel 项目的多表验证隔离，防止用户越权访问。同时，这也提醒开发者在设计系统时，要考虑权限控制的全面性，确保安全性。