告別密碼煩惱，擁抱安全便捷的無密碼登錄！本文將指導(dǎo)您如何在Laravel應(yīng)用中實(shí)現(xiàn)基于一次性鏈接的無密碼登錄系統(tǒng)，提升安全性并簡化用戶體驗(yàn)。

本文由Younes Rafie和Wern Ancheta審核。感謝所有SitePoint的同行評審員，使SitePoint的內(nèi)容達(dá)到最佳狀態(tài)！

身份驗(yàn)證技術(shù)不斷發(fā)展，從傳統(tǒng)的郵箱-密碼組合，到社交登錄，再到如今的無密碼登錄（更準(zhǔn)確地說是“僅郵箱”登錄）。無密碼登錄系統(tǒng)通過向用戶郵箱發(fā)送登錄鏈接來驗(yàn)證身份。

無密碼登錄流程如下：

1. 用戶訪問登錄頁面；
2. 輸入郵箱地址并確認(rèn)；
3. 系統(tǒng)向郵箱發(fā)送登錄鏈接；
4. 點(diǎn)擊鏈接后，用戶被重定向回應(yīng)用并登錄；
5. 鏈接失效。

如果您忘記應(yīng)用密碼但記得注冊郵箱，此方法非常實(shí)用。Slack等應(yīng)用也采用了這種技術(shù)。本教程將演示如何在Laravel應(yīng)用中實(shí)現(xiàn)此系統(tǒng)。完整代碼請見此處。

核心要點(diǎn)

• 摒棄密碼：采用基于一次性使用URL的“魔法登錄鏈接”，實(shí)現(xiàn)簡單安全的無密碼認(rèn)證。
• 用戶友好的設(shè)置：利用預(yù)定義命令和少量修改，即可輕松在Laravel應(yīng)用中實(shí)現(xiàn)此系統(tǒng)。
• 增強(qiáng)的安全性：魔法登錄鏈接消除了傳統(tǒng)密碼系統(tǒng)中常見的漏洞，例如弱密碼和網(wǎng)絡(luò)釣魚攻擊。
• 靈活性和控制：用戶仍可以選擇使用傳統(tǒng)密碼登錄，兼顧靈活性與安全性。
• 高效的令牌管理：系統(tǒng)自動處理令牌過期和驗(yàn)證，確保令牌被正確使用且不會長期有效。

創(chuàng)建應(yīng)用

首先，創(chuàng)建一個新的Laravel應(yīng)用。本教程使用Laravel 5.2：

composer create-project laravel/laravel passwordless-laravel 5.2.*

如果您已有包含用戶和密碼的Laravel項(xiàng)目，無需擔(dān)心，我們不會修改正常的身份驗(yàn)證流程，而是在其之上添加一層。用戶仍可以選擇使用密碼登錄。

數(shù)據(jù)庫設(shè)置

在運(yùn)行遷移之前，需要設(shè)置MySQL數(shù)據(jù)庫。

打開根目錄下的.env文件，輸入主機(jī)名、用戶名和數(shù)據(jù)庫名稱：

<code>[...]
DB_CONNECTION=mysql
DB_HOST=localhost
DB_DATABASE=passwordless-app
DB_USERNAME=username
DB_PASSWORD=
[...]</code>

如果您使用的是Homestead Improved box，數(shù)據(jù)庫/用戶名/密碼組合為homestead, homestead, secret。

構(gòu)建身份驗(yàn)證

Laravel 5.2版本引入了一項(xiàng)很棒的功能：只需一條命令即可添加預(yù)制身份驗(yàn)證層。讓我們執(zhí)行此操作：

composer create-project laravel/laravel passwordless-laravel 5.2.*

此命令會構(gòu)建身份驗(yàn)證所需的一切，即視圖、控制器和路由。

遷移

在database/migrations目錄中，可以看到生成的Laravel應(yīng)用包含創(chuàng)建users表和password_resets表的遷移文件。

我們不會修改任何內(nèi)容，因?yàn)槲覀內(nèi)匀幌Ｍ麘?yīng)用擁有正常的身份驗(yàn)證流程。

要創(chuàng)建表，請運(yùn)行：

<code>[...]
DB_CONNECTION=mysql
DB_HOST=localhost
DB_DATABASE=passwordless-app
DB_USERNAME=username
DB_PASSWORD=
[...]</code>

現(xiàn)在可以運(yùn)行應(yīng)用，用戶應(yīng)該能夠使用導(dǎo)航欄中的鏈接注冊和登錄。

修改登錄鏈接

接下來，我們將修改登錄鏈接，使其重定向到自定義登錄視圖，用戶在該視圖中將僅提交郵箱地址而無需密碼。

導(dǎo)航到resources/views/layouts/app.blade.php。在那里可以找到導(dǎo)航欄部分。將包含登錄鏈接的行（在檢查用戶是否已注銷的條件語句下方）更改為：

resources/views/layouts/app.blade.php

php artisan make:auth

當(dāng)未登錄的用戶嘗試訪問受保護(hù)的路由時，他們應(yīng)該被帶到新的自定義登錄視圖，而不是正常的登錄視圖。此行為在authenticate中間件中指定。我們需要對其進(jìn)行調(diào)整：

app/Http/Middleware/Authenticate.php

php artisan migrate

請注意，在else塊中，我們已將重定向更改為指向login/magiclink，而不是正常的login。

創(chuàng)建魔法登錄控制器、視圖和路由

下一步是在Auth文件夾中創(chuàng)建MagicLoginController：

[...]
@if (Auth::guest())
<li><a href="http://www.miracleart.cn/link/9964364bfd2b38643a0b41b981c01f60'/login/magiclink') }}">Login</a></li>
<li><a href="http://www.miracleart.cn/link/9964364bfd2b38643a0b41b981c01f60'/register') }}">Register</a></li>
[...]

然后是顯示自定義登錄頁面的路由：

app/Http/routes.php

class Authenticate
{
[...]
public function handle($request, Closure $next, $guard = null)
{
    if (Auth::guard($guard)->guest()) {
        if ($request->ajax() || $request->wantsJson()) {
            return response('Unauthorized.', 401);
        } else {
            return redirect()->guest('login/magiclink');
        }
    }

    return $next($request);
}
[...]

讓我們更新MagicLoginController以包含show操作：

app/Http/Controllers/Auth/MagicLoginController.php

php artisan make:controller Auth\MagicLoginController

對于新的登錄視圖，我們將借用正常的登錄視圖，但刪除密碼字段。我們還將表單的post URL更改為指向/login/magiclink。

讓我們在views/auth文件夾中創(chuàng)建一個magic文件夾來保存此新視圖：

[...]
Route::get('/login/magiclink', 'Auth\MagicLoginController@show');

讓我們將新創(chuàng)建的視圖更新為：

resources/views/auth/magic/login.blade.php

class MagicLoginController extends Controller
{
    [...]
    public function show()
    {
        return view('auth.magic.login');
    }
    [...]
}

我們將保留使用密碼登錄的選項(xiàng)，因?yàn)橛脩艨赡苋匀贿x擇密碼登錄。因此，如果用戶點(diǎn)擊導(dǎo)航欄中的登錄，他們將看到如下所示的登錄視圖：

剩余部分由于篇幅限制，無法全部展開，但基本思路如下：

• 生成并關(guān)聯(lián)令牌： 創(chuàng)建路由和控制器方法來處理登錄表單的提交操作，驗(yàn)證郵箱地址，為用戶生成令牌，并將令牌與用戶關(guān)聯(lián)。使用 str_random() 生成隨機(jī)令牌，并將其存儲在數(shù)據(jù)庫中。
• 發(fā)送令牌郵件： 在 UserToken 模型中添加方法，使用 Laravel 的郵件功能發(fā)送包含登錄鏈接的郵件。鏈接應(yīng)包含令牌、郵箱地址和記住我的值。 使用 Mail::raw() 發(fā)送純文本郵件，或創(chuàng)建郵件視圖以增強(qiáng)郵件外觀。
• 令牌驗(yàn)證和身份驗(yàn)證： 創(chuàng)建路由和控制器方法來處理登錄鏈接的點(diǎn)擊操作。使用路由模型綁定獲取令牌，驗(yàn)證令牌是否過期以及是否屬于提交的郵箱地址。使用 Carbon 庫來檢查令牌的過期時間。驗(yàn)證成功后，使用 Auth::login() 登錄用戶，并刪除已使用的令牌。

通過以上步驟，您就可以在 Laravel 應(yīng)用中實(shí)現(xiàn)一個安全可靠的無密碼登錄系統(tǒng)，為用戶提供更便捷、更安全的登錄體驗(yàn)。 請記住根據(jù)您的實(shí)際需求調(diào)整令牌過期時間和其他設(shè)置。 完整的代碼和更詳細(xì)的步驟，請參考您提供的完整代碼鏈接。

以上是讓殺死密碼！魔術(shù)登錄鏈接到救援！的詳細(xì)內(nèi)容。更多信息請關(guān)注PHP中文網(wǎng)其他相關(guān)文章！