Laravel — как авторизировать пользователя из под api в web?

Question

[tester_toster]

Для работы с приложениями через api установил Laravel passport
/config/auth.php:

'guards' => [
        'web' => [
            'driver' => 'session',
            'provider' => 'users',
        ],

        'api' => [
            'driver' => 'passport',
            'provider' => 'users', 
        ],
    ],

Сделал получение токена по паролю и email, прикрепил стандартный трейт для того чтобы после авторизации в web - можно было работать с апи запросами.

Появилась проблема: есть App\Http\Controllers\Api\v1RegistrationController,
У него гуард - passport.

В нем код:

$user = User::create([
             'name'          => $request->has('name') ? $request->name : '',
            'first_name'    => $request->has('first_name') ?? $request->first_name,
            'last_name'     => $request->has('last_name') ?? $request->first_name,
            'email'         => $request->email,
            'password'      => bcrypt($request->password),
        ]);
        Auth::login($user);

Необходимо, чтобы после того как пользователь создался из под api - он авторизовался в web, так как с api еще работает web приложение, но этого не происходит - Auth::guest() показывает false, но после перезагрузки страницы - авторизация пропадает.
Необходимо для того чтобы пользователь из браузера зарегистрировавшись по api мог после редиректа на главную быть авторизованным.
Как такое реализовать?
Пробовал:
Auth::guard('web')->login($user);
Но после перезагрузки страницы авторизация пропадает, хотя если пробовать так сделать из под web контроллеров - все работает

Answer 1

[Александр Аксентьев]

А почему шиворот навыворот от "обычного" сценария?

Обычно регистрируются, логинятся, а потом уже можно выдавать токены и все что угодно для работы с апи.

В API-то зачем его логинить, оно под такое вообще не расчитано.

Comments

[tester_toster]

После отправки запроса на регистрацию в api из браузера должно авторизовать в гуарде web, чтобы пользователь сразу стал авторизованным при редиректе.

В laravel api есть\Laravel\Passport\Http\Middleware\CreateFreshApiToken::class провайдер, при авторизации в web он добавляет заголовок с токеном из api.
Получается при авторизации в web - происходит авторизация в api, мне нужно реализовать в обратную сторону.

Как реализовал сам:

<?php

namespace App\Providers;

use Laravel\Passport\Passport;
use Illuminate\Support\Facades\Gate;
use Illuminate\Foundation\Support\Providers\AuthServiceProvider as ServiceProvider;

class AuthServiceProvider extends ServiceProvider
{
    /**
     * The policy mappings for the application.
     *
     * @var array
     */
    protected $policies = [
        'App\Model' => 'App\Policies\ModelPolicy',
    ];

    /**
     * Register any authentication / authorization services.
     *
     * @return void
     */
    public function boot()
    {
        $this->registerPolicies();

        if (\Auth::guard('api')->check()) {
            \Auth::guard('web')->loginUsingId(\Auth::guard('api')->user()->id);
        }
    }
}

В auth провайдер добавил проверку на авторизацию из api, всем роутам установил драйвер web.
Мою проблему это решает, но немного костыльно, если подскажете как можно улучшить буду благодарен.

[Александр Аксентьев]

tester_toster: я даже в теории не знаю как апи может авторизовать в вебе кого-то, потому что в апи не должно быть сессий как таковых.

И их там собственно нет из "коробки".

\Illuminate\Session\Middleware\StartSession::class

Получается при авторизации в web - происходит авторизация в api, мне нужно реализовать в обратную сторону.

не нужно делать так, это неправильно.
И нет, при авторизации в веб, апи авторизация не происходит. Чтобы в апи стучать нужен всегда токен(если апи требует авторизации).

Все вызовы к апи идут с токеном всегда, а не по сессиям или еще как-то.
Поэтому веб с залогиненым пользователям отдает в JS токен для апи.

[tester_toster]

И нет, при авторизации в веб, апи авторизация не происходит. Чтобы в апи стучать нужен всегда токен(если апи требует авторизации).

Происходит, я уже выше написал про \Laravel\Passport\Http\Middleware\CreateFreshApiToken::class, который автоматически при авторизации в web авторизирует в api - добавляя в заголовки Bearer токен, и это не я придумал, а создатили Laravel Passport.

не нужно делать так, это неправильно.

Не спорю - неправильно, но удобно, фронтенд тоже отдается в зависимости от авторизации, а потом также работает с api, можно все сделать с web, но существуют приложения для ios и android, так удобнее - одно api для всего, работает запоминание пользователя.
Необходимо чтобы после регистрации в браузере через api авторизировало сразу, если убрать это, то можно сделать второй запрос с тем же логином и паролем на web контроллер, чтобы авторизироваться, но это не удобно.

[vism]

tester_toster: Правильно все Александр говорит вам.
Фигней страдаете.

Заголовок и есть авторизация.
Далее все запросы делаете с токеном и получаете информацию соответствующую.

Если вам удобно так, не юзайте АПИ.
Выбирайте либо по сессия работать и цельное приложение.
Либо отдельный фронт и АПИбэк. Который работает по токенам.

[tester_toster]

vism: Я это понимаю, но есть заказчик и его требования. После запроса регистрации к api загружается другое приложение, с другого роута, сразу после перехода пользователь должен быть авторизирован, и при этом должна быть проверка в самих роутах, что он авторизировался, иначе отправить его в лес. Сессия используется для проверки фронт роутов - отдачи приложений + в куки записывается хэш токена и при запросах сам laravel passport проверяет наличие токена либо в заголовках, либо в куках.
Вот даже кусок кода:

public function user(Request $request)
    {   
        if ($request->bearerToken()) {
            return $this->authenticateViaBearerToken($request);
        } elseif ($request->cookie(Passport::cookie())) {
            return $this->authenticateViaCookie($request);
        }
    }

Мне не нужна фраза - это неправильно, мне нужны пути решения.
Если бы сама суть, которая была мне нужна - ее бы не реализовали в laravel.
Хотя появилась идея - смотреть как генерируется кука, и отправлять ее вместе с ответом, чтобы ее устанавливал браузер.

[vism]

tester_toster:
Разработчики в паспорт не реализовывали))
При авторизации в вед, добавляет токен, чтоб не надо было слать лишний запрос на токен.

Куки парсятся на наличие токена, т.к. не всегда можно поставь токен в хедере.
А хакать как угодно можно. Вам просто надо сеесию активировать вебовскую и куки прописать.
попробуйте стандартными методами ларавель сделать. Как он делает при веб авторизации