Как в Laravel понять методы аутентификации?

Question

[teimur]

Я знаю что такое токены, JWT токены, и как сделать аутентификацию логически. Но я не понимаю стандартный набор методов Laravel.
Задачу поставил себе самую простую из простых.
Хочу отвечать на запросы по API если в запросе есть Bearer токен. Вроде все просто
Нужно сделать middleware которая бы проверяла.
Сделал такой:

<?php

namespace App\Http\Middleware;

use Illuminate\Auth\Middleware\Authenticate as Middleware;
class AuthenticateApiMiddleware extends Middleware
{
    public function handle($request, Closure $next, ...$guards)
    {
        return parent::handle($request, $next, $guards); 
    }

    protected function authenticate($request, array $guards)
    {
        $token = $request->bearerToken();
        if ($token === 'aaabbbccc') return;
        $this->unauthenticated($request, $guards);
    }
}

Но мне нужно что бы unauthenticated отвечала в виде JSON. например

{
  error: 'error1'
}

Объясните мне как правильно это реализовать?

Comments

[Дмитрий]

я так понимаю Middleware это Illuminate\Auth\Middleware\Authenticate?

[teimur]

Дмитрий, да

[Дмитрий]

teimur, ну а на нужный роут или контроллер вы навесили middleware?

[teimur]

Дмитрий, Да. У меня не не работает! Если токен правильный все работает, а если не правильный то unauthenticated выдает HTML. И я не понимаю стандартные методы для работы с этим всем

[Дмитрий]

teimur, можно посмотреть как вы навесили? ну и на самом деле ларавелка вам ответ unauthenticated выдаст в json - стоит только сказать в заголовках что вам нужен json

[teimur]

<?php

namespace App\Http\Middleware;

use Closure;
use Illuminate\Auth\Middleware\Authenticate as Middleware;

class AuthenticateApiMiddleware extends Middleware
{
    public function handle($request, Closure $next, ...$guards)
    {
        return parent::handle($request, $next, $guards);
    }

    protected function authenticate($request, array $guards)
    {
        $token = $request->bearerToken();
        if ($token === 'aaabbbccc') return;
        $this->unauthenticated($request, $guards);
    }

    protected function unauthenticated($request, array $guards)
    {
        parent::unauthenticated($request, $guards); // TODO: Change the autogenerated stub
    }
}

<?php

use Illuminate\Http\Request;
use Illuminate\Support\Facades\Route;

Route::middleware('auth_api')->get('/array', function (Request $request) {
    $x = [
      'a' => 3,
      'b' => 2,
    ];
    return $x;
});

protected $routeMiddleware = [
        'auth' => \App\Http\Middleware\Authenticate::class,
        'auth_api' => AuthenticateApiMiddleware::class,
        'auth.basic' => \Illuminate\Auth\Middleware\AuthenticateWithBasicAuth::class,
        'auth.session' => \Illuminate\Session\Middleware\AuthenticateSession::class,
        'cache.headers' => \Illuminate\Http\Middleware\SetCacheHeaders::class,
        'can' => \Illuminate\Auth\Middleware\Authorize::class,
        'guest' => \App\Http\Middleware\RedirectIfAuthenticated::class,
        'password.confirm' => \Illuminate\Auth\Middleware\RequirePassword::class,
        'signed' => \App\Http\Middleware\ValidateSignature::class,
        'throttle' => \Illuminate\Routing\Middleware\ThrottleRequests::class,
        'verified' => \Illuminate\Auth\Middleware\EnsureEmailIsVerified::class,
    ];

[teimur]

Дмитрий, А как установить что бы в API ответ был всегда JSON?

[Дмитрий]

teimur,
1. Сделать еще один мидлеваре которые навесить и в нем гвоздями прибить заголовок
$request->headers->set('Accept', 'application/json');
2. можно хоть в nginx править этот заголовок по определенному урлу.
3. много чего можно наколхозить........

[Дмитрий]

teimur, ну и если вы сделаете так:

protected function authenticate($request, array $guards)
    {
dd('wtf');
    }

у вас это не будет работать?

[teimur]

Дмитрий, Спасибо! Вот где собака была зарыта.
Сделал так и заработало!

<?php

namespace App\Http\Middleware;

use Closure;
use Illuminate\Auth\Middleware\Authenticate as Middleware;

class AuthenticateApiMiddleware extends Middleware
{
    public function handle($request, Closure $next, ...$guards)
    {
        $request->headers->set('Accept', 'application/json');
        return parent::handle($request, $next, $guards);
    }

    protected function authenticate($request, array $guards)
    {
        $token = $request->bearerToken();
        if ($token === 'aaabbbccc') return;
        $this->unauthenticated($request, $guards);
    }
}

[teimur]

Дмитрий, Спасибо за помощь, и еще вопрос. Как убрать из заголовка laravel_session и XSRF-TOKEN при обращении по API ?

[Дмитрий]

teimur, вам роут апи отвечает с куками laravel_session и XSRF-TOKEN?

[Дмитрий]

teimur, не надо в один middleware складывать все что вам нужно в конкретный момент. сделайте отдельный

[teimur]

Дмитрий,

вам роут апи отвечает с куками laravel_session и XSRF-TOKEN?

Да

не надо в один middleware складывать все что вам нужно в конкретный момент. сделайте отдельный

Понял! Сделаю

[Дмитрий]

teimur, ну если да - то значит вы роут для апи прописали не в том файле. ибо насколько я помню у группы api нет запуска сессий и XSRF-TOKEN

[teimur]

Дмитрий, Странно


Тут 2 вопроса, как сделать что бы JsonResponceMiddleware выполнялся раньше auth_api ?
И второй, а как нужно сделать что бы api работали как api?

[teimur]

<?php

namespace App\Http\Middleware;

use Closure;
use Illuminate\Http\Request;

class JsonResponceMiddleware
{
    public function handle(Request $request, Closure $next)
    {
        $request->headers->set('Accept', 'application/json');
        return $next($request);
    }
}

[Дмитрий]

teimur, ну ничего странного. если зайти в App\Http\Kernel и посмотреть middleware на группу web и группу api разница будет заметно. У последнего не будет \Illuminate\Session\Middleware\StartSession::class, \App\Http\Middleware\VerifyCsrfToken::class, а они и отвечают за сессии и csrf токен.

Так же если одновремнно открыть документацию и тот же Kernel можно узнать как выставлять приоритеты у миддлеваре такие как вы захотите

[teimur]

Дмитрий, С приоритетами разобрался.
Так, в App\Http\Kernel api нет этих классов, но всеравно выдает

protected $middlewarePriority = [
    ];

    protected $middlewareGroups = [
        'web' => [
            \App\Http\Middleware\EncryptCookies::class,
            \Illuminate\Cookie\Middleware\AddQueuedCookiesToResponse::class,
            \Illuminate\Session\Middleware\StartSession::class,
            \Illuminate\View\Middleware\ShareErrorsFromSession::class,
            \App\Http\Middleware\VerifyCsrfToken::class,
            \Illuminate\Routing\Middleware\SubstituteBindings::class,
        ],

        'api' => [
            // \Laravel\Sanctum\Http\Middleware\EnsureFrontendRequestsAreStateful::class,
            'throttle:api',
            \Illuminate\Routing\Middleware\SubstituteBindings::class,
            'json_responce' => JsonResponceMiddleware::class,
            'auth_api' => AuthenticateApiMiddleware::class,

        ],
    ];

в роутах так теперь

<?php

use Illuminate\Http\Request;
use Illuminate\Support\Facades\Route;
use App\Http\Middleware\JsonResponceMiddleware;


Route::middleware('api')->group(function () {
    Route::get('/array', function (Request $request) {
        $x = [
            'a' => 3,
            'b' => 2,
        ];
        return $x;
    });
});

[Дмитрий]

teimur, ну пришлите информацию об ответе что бы я видел что вам отвечает сервер, и заодно скажите в каком файле вы прописали route /array

[teimur]

Дмитрий, Разобрался, это зачем то postman посылал куки, наверное сохранил из версии web... Спасибо