# Laravel Sanctum 使って API トークン JWT 認証と SPA 認証

Laravel は Auth 認証システムとして、passport と sanctum を提供しています。Laravel passport は OAuth2 認証ベースで、Laravel Sanctum は API トークンベースのものになります。
SPA やモバイルアプリケーションを認証したり、API トークンを発行したりする場合は、Laravel Sanctum を使うので、資料まとめました。

Laravel Sanctum とは

Laravel Sanctum(サンクタム、聖所)は Laravel が提供する API トークンを発行して SPA やモバイルアプリなどに API やり取りするための認証システムです。API トークンを DB に保存し、有効な API トークンを含む必要がある Authorization ヘッダを介して受信 HTTP リクエストを認証する機能を提供します。Laravel Blade で開発するなら Laravel passport がありますが、Laravel を API サーバーとして使う場合の認証システムは Larave sanctum になります。

# API トークン機能と SPA 認証機能

Laravel Sanctum は API トークン機能と SPA 認証機能という2つの機能があります。

API トークン機能は JWT 認証でよく使われる API トークンを Authorization ヘッダを介して受信 HTTP リクエストを認証します。
SPA 認証機能はトークンの代わりにクッキーベースのセッション認証サービスを使用します。WEB 認証ガードを利用して、CSRF 保護、セッション認証の利点が提供できるだけでなく、XSS を介した認証資格情報の漏洩を保護します。

Laravel Sanctum は、受信リクエストが自身の SPA フロントエンドから発信された場合にのみクッキーを使用して認証を試みます。Sanctum が受信 HTTP リクエストを調べるとき、最初に認証クッキーをチェックし、存在しない場合は、Sanctum は有効な API トークンの Authorization ヘッダを調べます。

# インストール

パッケージインストール

composer require laravel/sanctum

# Sanctum の設定ファイルが config ディレクトリの下に外だし

php artisan vendor:publish --provider="Laravel\Sanctum\SanctumServiceProvider"

# データベースのマイグレーションを実行

Sanctum は API トークンを格納するための 1 つのデータベーステーブルを作成

php artisan migrate

Sanctum のデフォルトマイグレーションを使用しない場合は、App\Providers\AppServiceProvider クラスの register メソッドで Sanctum::ignoreMigrations メソッドを呼び出す必要があります。

次のコマンドを実行して、デフォルトマイグレーションをエクスポートできます。

php artisan vendor:publish --tag=sanctum-migrations

# ミドルウエアグループ編集

app/Http/Kernel.php にある api ミドルウエアグループを編集

'api' => [
    \Laravel\Sanctum\Http\Middleware\EnsureFrontendRequestsAreStateful::class,
    'throttle:api',
    \Illuminate\Routing\Middleware\SubstituteBindings::class,
],

# API トークン認証

SPA シングルページアプリケーションでの開発なら、API トークン認証より SPA 認証機能がおすすめです。

# トークンの発行

Laravel\Sanctum\HasApiTokens トレイトを使用して API トークン発行

use Laravel\Sanctum\HasApiTokens;

class User extends Authenticatable
{
    use HasApiTokens, HasFactory, Notifiable;
}
use Illuminate\Http\Request;

Route::post('/tokens/create', function (Request $request) {
    $token = $request->user()->createToken($request->token_name);

    return ['token' => $token->plainTextToken];
});

# ルートに Middleware 設定

Route::middleware('auth:sanctum')->get('/user', function (Request $request) {
    return $request->user();
});

# トークン削除

// 全トークンの削除
$user->tokens()->delete();

// 現在のリクエストの認証に使用されたトークンを取り消す
$request->user()->currentAccessToken()->delete();

// 特定のトークンを取り消す
$user->tokens()->where('id', $tokenId)->delete();

# トークンの有効期限

デフォルトでは、Sanctum トークンに有効期限がなく、トークンの取り消しによってのみ無効化されます。

sanctum の設定ファイルで有効期限設定できます。

'expiration' => 60,

有効期限過ぎたトークンを一括削除する

コマンドで 24 時間以上有効期限過ぎたものを一括削除できます。

php artisan sanctum:prene-expired --hours=24

スケジュール設定で 24 時間以上有効期限過ぎたものを一括削除できます。

$schedule->command('sanctum:prune-expired --hours=24')->daily();

# SPA 認証

セッションベースの認証サービスを使用するため、web ガードを使います。つまり、login ルートは api ではなく web ルートにおいた方がいいです。

# CORS 設定

異なるサブドメインからアクセスできるように CORS 設定する必要があります。

config/cors.php

'supports_credentials' => true,

# フロント側 axios withCredentials を true に設定

const api = axios.create({
  baseURL: "http://localhost",
  withCredentials: true,
});

# セッションクッキードメイン設定

ここで設定した値は、Set-Cookie の domain 属性に設定されます。
config/session.php

// 'domain' => '.domain.com',
'domain' => env('SESSION_DOMAIN'),

# CSRF 保護

SPA を認証ログインする前には、最初に/sanctum/csrf-cookieにリクエストして、CSRF 保護を初期化する必要があります。

このリクエスト中に、Laravel は現在の CSRF トークンを含む XSRF-TOKEN クッキーをセットします。このトークンは、後続のリクエストへ X-XSRF-TOKEN ヘッダで渡す必要があります。これは、Axios や Angular HttpClient などの一部の HTTP クライアントライブラリでは自動的に行います。JavaScript HTTP ライブラリで値が設定されていない場合は、このルートで設定された XSRF-TOKEN クッキーの値と一致するように X-XSRF-TOKEN ヘッダを手作業で設定する必要があります。

# ログイン処理

フロント側



 













// login
const login = () => {
  api.get("/sanctum/csrf-cookie").then((res) => {
    api.post("/login", { email, password }).then((res) => {
      console.log(res);
    });
  });
};

// logout
const logout = () => {
  http.post("/api/logout").then((res) => {
    console.log(res);
  });
};

/sanctum/csrf-cookie ルートにリクエストを送信しているため、JavaScript HTTP クライアントが XSRF-TOKEN クッキーの値を X-XSRF-TOKEN ヘッダで送信する限り、後続のリクエストは自動的に CSRF 保護を受けます。
axios がwithCredentials: true と設定する場合、XSRF-TOKEN をリクエスト時に送信してくれます。

ログイン Controller

LoginController.php

<?php

namespace App\Http\Controllers;

use Exception;
use Illuminate\Http\Request;
use Illuminate\Support\Facades\Auth;

class LoginController extends Controller
{
    /**
     * @param  Request  $request
     * @return \Illuminate\Http\JsonResponse
     */
    public function login(Request $request)
    {
        $credentials = $request->validate([
            'email' => ['required', 'email'],
            'password' => ['required'],
        ]);

        if (Auth::attempt($credentials)) {
            $request->session()->regenerate();

            return response()->json(Auth::user());
        }
        return response()->json([], 401);
    }

    /**
     * @param  Request  $request
     * @return \Illuminate\Http\JsonResponse
     */
    public function logout(Request $request)
    {
        Auth::logout();

        $request->session()->invalidate();

        $request->session()->regenerateToken();

        return response()->json(true);
    }
}

# postman で試す sanctum   SPA 認証

# Cookies 設定

Cookies > Manage Cookies > Domains Allowlist のメニューから設定できます。

フロントエンドのドメインを追加します。ローカルなので、localhost になります。

# Login の仕組み

  • POST http://localhost/login?email=test@example.com&password=password

Headers

{
  "X-XSRF-TOKEN": {{xsrf-token}}
}

X-XSRF-TOKEN: NaN Key と Value を設定します。

次は Postman リクエスト時の Pre-request script を設定します。

pm.sendRequest(
  {
    url: "http://localhost/sanctum/csrf-cookie",
    method: "GET",
  },
  function (error, response, { cookies }) {
    if (!error) {
      pm.environment.set("xsrf-token", cookies.get("XSRF-TOKEN"));
    }
  }
);

# ユーザー情報取得

ログインして CSRF 初期化と session を作成済み状態でユーザー情報取得できます。

  • GET localhost/api/user

Headers

{
  "Accept": "application/json",
  "Referer": "localhost"
}
2022-11-28
  • php
  • laravel

関連記事

Laravel メンテナンスモード
Laravel model で hidden に設定したカラムを一時解除
Laravel でカテゴリー作成 テーブル構築と再帰クエリ
Laravel Queue で非同期処理
Laravel notification メール通知カスタマイズ
Laravel lang バリデーションメッセージを多言語対応
Laravel を API サーバーとしての初期設定
Laravel リクエストログ出力
Carbon で php date 日付の日数・月数差を計算
Laravel 429 Too Many Requests
Laravel Email バリデーションについて
AWS SES メール開封確認  DB に集計
Laravel logger でエラーログを chatwork に自動送信
php CSV データ取得は fgetcsv 使う
Laravel tinker 使って DB データベース接続とコマンド
Laravel Test についてのメモ
Laravel Log の基本設定&使い方
Exception: Class 'ZipArchive' not found
Laravel Sail で Docker 環境構築
PHP 文字列長さ・文字列の幅を取得方法
Codeigniter 画像アップロードとリサイズ
Laravel Lumen Faker 日本語設定
laravel method の基本 get post put options
Laravel schedule 設定
Class 'Imagick' not found Error
Laravel eloquent model の規約
PHP mbconvertkana 全角半角英数カナ変換
Codeigniter APPPATH BASEPATH FCPATH 各種パスと URL 取得
Laravel timestamp() auto update 有効化無効化
Lumen8 で JWT ユーザー認証
Laravel toSql パラメータ付きで出力
Lumen8 で API 開発
php Exception エラーキャッチでメール送信
Smarty HTTP URL 取得できるサーバー関数
Laravel blade foreach loop と current url
laravel session を制する
PHP empty isset is_null の違い
PHP 8 リリース新機能と変更
FlattenException deprecated
php.ini 初期設定のいろいろ
Laravel 5.1 から 8.1 にバージョンアップ
PHP 7.4 にアップグレードして使えなくなる機能
開発時によく使うゼロ埋めパディング作業まとめ
解決!phpMyAdmin テーブル構造の内容が表示されない問題
codeigniter email ライブラリでメール送信 日本語対応
Composer コマンドとオプション
爆速軽量フレームワーク codeigniter PHP 開発
nuxtjs と codeigniter で jwt システム構築
Lumen と Laravel 違い比較
HTML から PDF に変換 PHP ライブラリ mPDF の設定
twig 3 人気 PHP テンプレートエンジンがバージョンアップ
正規表現一覧 よく使う検索・置換のパターン
Apache 初期設定メモ
開発におけるコーディングルール・規約
Laravel Error についてのメモ
laravel に vuejs 使うための初期設定
php curl 使って クリックなしで POST 送信
allowurlinclude の設定で ftp_connect()エラー