В веб-разработке ситуация с безопасностью API напоминает игру в кошки-мышки, где злоумышленники постоянно изобретают новые методы взлома, а разработчики отчаянно пытаются остаться на шаг впереди. Особенно остро эта проблема стоит с Laravel API, когда речь заходит о передаче конфиденциальной информации между различными сервисами. Защита API — не просто галочка в чек-листе разработчика, а критическая необходимость, игнорирование которой может привести к катастрофическим последствиям: от кражи пользовательских данных до полной компрометации системы.
В этой статье мы построим надёжную систему аутентификации для Laravel API, используя весь потенциал OAuth2 и Passport. Разберёмся с различными грантами, жизненными циклами токенов, защитой от распространённых атак и масштабированием решения под высокие нагрузки. Поверьте, после прочтения вы не только защитите свои API, но и поймёте внутренние механизмы, делающие такую защиту возможной.
Введение в OAuth2 и Laravel Passport
Перед тем как нырнуть в дебри OAuth2 и Laravel Passport, давайте разберёмся с основными понятиями. Аутентификация и авторизация — два столпа безопасности, которые часто путают даже опытные разработчики. Аутентификация отвечает на вопрос "Кто ты такой?", а авторизация интересуется "Что тебе позволено делать?". Разница вроде бы очевидна, но сколько приложений я видел, где эти концепции смешаны до неузнаваемости!
OAuth2 — это протокол авторизации, который позволяет приложению получить ограниченный доступ к учетной записи пользователя на другом сервисе. Ключевое слово здесь — "ограниченный". В отличе от монолитных систем прошлого, где у вас либо был полный доступ, либо никакого, OAuth2 даёт возможность предоставить доступ только к определённым ресурсам и на ограниченный период времени. Работает эта схема примерно так: вместо передачи логина/пароля (как в Basic Auth), пользователь получает токен — своеобразную "временную ключ-карту" с ограничеными правами. Злоумышленник, перехвативший такой токен, получит доступ только к тем ресурсам, которые разрешены этому токену, и только до истечения срока его действия. Кроме того, токены можно отозвать в любой момент без изменения учётных данных пользователя.
| PHP | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
| // Пример реализации OAuth2 клиента в Laravel
$http = new GuzzleHttp\Client;
$response = $http->post('http://your-app.com/oauth/token', [
'form_params' => [
'grant_type' => 'password',
'client_id' => 'client-id',
'client_secret' => 'client-secret',
'username' => 'taylor@laravel.com',
'password' => 'my-password',
'scope' => '',
],
]);
return json_decode((string) $response->getBody(), true)['access_token']; |
|
Теперь о Laravel Passport — это пакет, который делает внедрение OAuth2 в Laravel проекты настолько простым, насколько это возможно. Он автоматизирует большую часть рутинной работы: генерацию токенов, их валидацию, управление клиентами и области действия (scopes).
Не поймите меня неправельно, внедрение OAuth2 с нуля — задача не для слабонервных. Спецификация протокола занимает десятки страниц с множеством нюансов и крайних случаев. Passport берёт на себя всю эту сложность, предоставляя разработчику чистый и понятный API. Что особенно радует в Laravel Passport — его готовность к работе "из коробки". После установки вы получаете полноценный OAuth2-сервер с веб-интерфейсом для управления клиентами, миграциями для хранения токенов в базе и даже Vue-компонентами для упраления личными токенами пользователя. Мне лично это сэкономило недели разработки на нескольких проэктах.
Интеграция Passport с существующими системами авторизации в Laravel тоже реализована на высоте. Framework'у Laravel и так свойственна элегантность в вопросах аутентификации, а Passport органично встраивается в эту экосистему. Достаточно добавить трейт HasApiTokens в модель User, и вуаля — ваша система пользователей уже готова к работе с OAuth2.
| PHP | 1
2
3
4
5
6
7
8
9
10
11
| namespace App\Models;
use Laravel\Passport\HasApiTokens;
use Illuminate\Notifications\Notifiable;
use Illuminate\Foundation\Auth\User as Authenticatable;
class User extends Authenticatable
{
use HasApiTokens, Notifiable;
// ...
} |
|
Помню свой первый крупный проект с Passport — мы реализовывали API для мобильного приложения, которое должно было интегрироваться с нашим основным веб-сервисом. Честно говоря, я ожидал недели страданий с конфигурацией и отладкой. Но к моему удивлению, базовую интеграцию удалось запустить за день. Куда больше времени заняла настройка специфических требований безопасности, но даже с ними Passport показал себя достаточно гибким инструментом. Типичный сценарий использования OAuth2 и Passport в Laravel таков: у вас есть API с защищёнными эндпоинтами, и вы хотите, чтобы сторонние приложения могли получать к ним доступ от имени пользователей, не требуя ввода пароля на сторонних ресурсах. Или, что более вероятно, вы разрабатываете микросервисную архитектуру, где разные сервисы должны безопасно взаимодействовать друг с другом.
Аутентификация по токену Laravel Passport
Всем привет!
Делаю SPA сайт на Vue + Laravel.
Не могу решить проблему с аутентификацией.
Вот... Как проверить токен на "существование" в Laravel API (Passport)
Всем доброго дня.
Стоит задача проверки на валидность токенов доступа (как анонимных, так и нет).... Аутентификация iOS приложения на сервере: OAuth2 или нет
Добрый день! Прошу совета, так как сам запутался.
Есть приложение на ios (нативное, не мобильный... Аутентификация пользователя в Api на Laravel, теория
Добрый день!
Есть API на ларавель, работает как прослойка между БД с одной стороны и различными!...
Внутренние механизмы работы протокола OAuth2
Чтобы по-настоящему освоить OAuth2, необходимо заглянуть под капот этого протокола. Не просто знать как использовать, но понимать как это работает изнутри — такой подход отличает мастера от рядового кодера. Протокол OAuth2 базируется на четко определённых ролях и потоках данных между ними.
Ключевые участники процесса — ресурсовладелец (обычно пользователь), клиент (ваше приложение, которое запрашивает доступ), сервер авторизации (выдаёт токены) и сервер ресурсов (хранит защищённые данные). В классическом сценарии процесс выглядит так: клиент запрашивает у ресурсовладельца разрешение на доступ к данным, перенаправляя его на сервер авторизации, где пользователь логинится и подтверждает доступ. Затем сервер авторизации генерирует код подтверждения и отправляет пользователя обратно к клиенту. Клиент обменивает этот код на токены доступа и обновления, которые потом использует для обращения к серверу ресурсов.
| PHP | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
| // Пример потока авторизации в Laravel Passport
// 1. Клиент запрашивает доступ, пользователь перенаправляется
Route::get('/authorize', function (Request $request) {
$authRequest = $request->user()->createOAuth2Request(
$clientId,
$redirectUri,
['email', 'profile'] // запрашиваемые scopes
);
return view('oauth.authorize', ['authRequest' => $authRequest]);
});
// 2. После подтверждения генерируется код авторизации
Route::post('/authorize', function (Request $request) {
$authCode = createAuthCode(
$request->user()->id,
$request->client_id,
$request->redirect_uri,
$request->scope
);
return redirect($request->redirect_uri . '?code=' . $authCode);
});
// 3. Клиент обменивает код на токены
// Это обычно происходит через POST запрос к /oauth/token |
|
Токены в OAuth2 бывают двух основных видов: токены доступа (access tokens) для непосредственного обращения к ресурсам и токены обновления (refresh tokens) для получения новых токенов доступа после истечения старых. Токен обновления обычно живёт дольше и должен храниться с особой осторожностью, потому что по сути заменяет пароль пользователя. Любопытный факт: многие разработчики не знают, что OAuth2 не определяет формат токенов — это может быть просто строка, JWT или любой другой формат по вашему выбору. Laravel Passport по умолчанию использует зашифрованный JSON с данными пользователя и правами.
Скопы (scopes) — ещё одна фундаментальная концепция OAuth2. Они определяют конкретные права, которые запрашивает клиент. Вместо предоставления универсального доступа, пользователь может контролировать, какие именно операции разрешены приложению. Например, скоп "read_contacts" может разрешать только чтение контактов, а "write_contacts" — их изменение.
В Laravel Passport валидация токенов осуществляется через механизм промежуточного программного обеспечения (middleware). При каждом запросе к защищённому API система извлекает токен из заголовка Authorization, декодирует его и проверяет срок действия, а потом находит соответствующего пользователя. Всё это происходит "под капотом", позволяя разработчику сосредоточиться на бизнес-логике.
| PHP | 1
2
3
4
5
| // Пример защиты маршрута с помощью Passport middleware
Route::middleware('auth:api')->get('/user', function (Request $request) {
// Токен уже проверен, пользователь аутентифицирован
return $request->user();
}); |
|
Одна из самых интересных и малоизвестных особенностей OAuth2 — механизм отзыва токенов. Представьте, что пользователь потерял телефон с авторизованным приложением. Или вы обнаружили подозрительную активность. В таких случаях нужно немедленно аннулировать все выданные токены. OAuth2 предусматривает специальный эндпоинт для этого:
| PHP | 1
2
3
4
5
6
7
8
9
10
11
12
| // Отзыв токенов в Laravel Passport
Route::post('/oauth/revoke', function (Request $request) {
$token = $request->user()->token();
$token->revoke();
// Также можно отозвать все токены пользователя
$request->user()->tokens->each(function ($token) {
$token->revoke();
});
return response()->json(['message' => 'Tokens revoked']);
}); |
|
Ещё одна тонкость — контроль времени жизни токенов. Слишком короткий срок — пользователю придётся постоянно переавторизовываться. Слишком длинный — повышенный риск при компрометации. В Laravel Passport эти параметры легко настраиваются:
| PHP | 1
2
3
4
5
| // Настройка времени жизни токенов в Passport
use Carbon\Carbon;
Passport::tokensExpireIn(Carbon::now()->addMinutes(30)); // access tokens
Passport::refreshTokensExpireIn(Carbon::now()->addDays(30)); // refresh tokens |
|
В криптографическом аспекте OAuth2 строится на транспортном шифровании через HTTPS. Многие упускают из виду, что без HTTPS вся схема OAuth2 бессмысленна — токены могут быть перехвачены при передаче. Laravel Passport неявно предполагает, что вы используете HTTPS, особенно в продакшен-окружении. И хотя для разработки на локальной машине HTTPS не обязателен, я настоятельно рекомендую настроить его даже в dev-среде, чтобы избежать странных ошибок при переносе на продакшен. При глубоком понимании внутреннего устройства OAuth2 вы можете адаптировать его под специфические требования проекта, не нарушая безопасность системы. Знание того, "как работают часы", а не просто умение "смотреть время" — вот что отличает настоящего инженера от кодера.
Case study: успешные внедрения OAuth2 в крупных проектах
Google, пожалуй, самый яркий пример масштабного применения OAuth2. Их экосистема насчитывает десятки различных сервисов — от Gmail и Drive до YouTube и Analytics. Все они используют единую систему авторизации на базе OAuth2. Что особенно интересно, Google активно применяет различные типы грантов в зависимости от сценария: для веб-приложений — Authorization Code, для мобильных — Implicit Flow, а для серверных API-интеграций — Service Account (их собственное расширение OAuth2). Помню свой первый опыт интеграции с Google Calendar API. Я ожидал классической мороки с API-ключами, но вместо этого получил элегантный OAuth2 поток, который позволил пользователям предоставлять доступ к своим календарям, не раскрывая пароли. Плюс к этому — гранулярное разрешение на чтение/запись событий, что принципально важно для пользователей.
Facebook тоже построил свою платформу на OAuth2, но с интересным поворотом. Их Login SDK — это фактически обёртка вокруг OAuth2 протокола, оптимизированная для соцсети. Скопы здесь приобретают особое значение: доступ к ленте, сообщениям, друзьям — всё это отдельные права, которые пользователь может выборочно предоставить. Система оказалась настолько удачной, что "Login with Facebook" стал стандартом де-факто для миллионов сайтов.
На другом конце спектра — GitHub, который также использует OAuth2, но с акцентом на разработчиков. Их API дает доступ к репозиториям, issues, pull requests. Примечателньо, что GitHub максимально упростил процесс создания OAuth2 приложений, сделав его интуитивно понятным даже для ноичков. Многие CI/CD инструменты, редакторы кода и другие dev-tools интегрируются с GitHub именно через OAuth2.
Spotify заслуживает отдельного упоминания за их безупречную имплементацию Client Credentials гранта для публичных API. У них огромная документация и SDK для разных языков, облегчающие работу с их OAuth2 эндпоинтами. Мне как-то пришлось интегрировать музыкальную аналитику в дашборд, и Spotify API оказалс самым надёжным решением среди конкурентов.
Особеный интерес представляет Netflix, где OAuth2 применяется не только для внешних приложений, но и для внутренней микросервисной архитектуры. У них сотни микросервисов, которые должны общатся между собой защищенным способом. OAuth2 с его токенами идеально вписался в эту архитектуру, обеспечивая безопасную коммуникацию между сервисами.
Эти успешные кейсы показывают универсальность OAuth2: от пользовательских веб-приложений до сложных распределённых систем. И да, Laravel Passport вобрал в себя лучшие практики от всех этих гигантов, что делает его особенно ценным для имплементации аналогичных решений в проектах любого масштаба.
Архитектурные особенности Laravel Passport как реализации OAuth2
Если заглянуть во внутренности Laravel Passport, можно обнаружить удивительно элегантную архитектуру, которая делает его одной из наиболее удобных реализаций OAuth2. В первую очередь стоит отметить микросервисный подход самого пакета — несмотря на кажущуюся монолитность, Passport разделён на чётко определённые компоненты, взаимодействующие через хорошо документированные интерфейсы.
Сердце архитектуры Passport — это фасадный паттерн, который скрывает сложность базовых OAuth2 операций за простым и консистентным API. Под этим фасадом работают специализированные классы: TokenRepository управляет хранением токенов, ClientRepository отвечает за клиентов OAuth2, а AuthorizationServer и ResourceServer представляют собой две ключевые роли в модели OAuth2.
| PHP | 1
2
3
4
5
6
7
8
9
| // Пример работы с токенами через TokenRepository
$tokens = app(TokenRepository::class);
$tokens->forUser($userId)->where('client_id', $clientId)->get();
// Пример работы с клиентами через ClientRepository
$clients = app(ClientRepository::class);
$client = $clients->createPasswordGrantClient(
null, 'My Password Grant Client', 'http://localhost'
); |
|
auth:api), который бесшовно встраивается в стандартный процесс аутентификации Laravel. Это позволяет использовать привычные методы, такие как Auth::user() или $request->user(), даже при работе с API-токенами.
Меня всегда поражало, как глубоко Passport интегрирован с Eloquent ORM. Токены, клиенты, коды авторизации — все они представлены как Eloquent-модели, что даёт доступ к мощному инструментарю запросов и отношений. Например, можно легко получить все токены пользователя через отношение:
| PHP | 1
2
| $user = User::find(1);
$tokens = $user->tokens; // Моментально получаем все токены пользователя |
|
| PHP | 1
2
3
4
| // Отслеживание создания токенов
Event::listen(AccessTokenCreated::class, function ($event) {
LogService::logNewTokenIssued($event->userId, $event->clientId);
}); |
|
TokenRepositoryInterface и зарегистрируйте через сервис-контейнер. Passport активно использует принцип инверсии зависимостей, что сильно упрощает кастомизацию.
С точки зрения производительности, Passport имеет интересную особенность: он хранит токены по умолчанию в базе данных, что может показаться не самым быстрым решением. Однако это сознательный компромис в пользу функциональности и безопасности. Во-первых, это позволяет реализовать отзыв токенов. Во-вторых, дает полную историю аутентификации. Для проектов, где производительность критична, я рекомендую настроить кэширование токенов, а не менять базовое хранилище.
С точки зрения масштабирования, Laravel Passport хорошо адаптируется к высоким нагрузкам благодаря статлес-природе OAuth2. Каждый запрос проверяется независимо, что позволяет горизонтально масштабировать API-серверы без необходимости синхронизировать состояние сессий между ними. Единственное место потенциального бутлнека — база данных с токенами, но это легко решается стандартными средствами масштабирования БД.
Настройка и установка Laravel Passport
После всех теоретических разговоров пора закатать рукава и перейти к практике. Установка Laravel Passport — процесс достаточно прямолинейный, но как всегда, дьявол кроется в деталях. Начнём с базовой установки через Composer:
| Bash | 1
| composer require laravel/passport |
|
Здесь новичков часто подстерегает первая ловушка: миграции предполагают, что у вас уже есть таблица users с необходимыми полями. Если вы интегрируете Passport в существующий проект, это обычно не проблема, но при создании с нуля лучше сначала запустить стандартные миграции аутентификации Laravel.
После миграций следует самый важный шаг — генерация ключей шифрования, которые будут использоваться для создания токенов:
| Bash | 1
| php artisan passport:install |
|
storage. Обязательно добавьте эти файлы в .gitignore, если ещё не сделали этого — утечка закрытых ключей может привести к катастрофе.
Однажды я видел проект, где разработчик запушил ключи в репозиторий. Через неделю все токены в системе пришлось отзывать, потомучто младший девелопер скачал репозиторий и по незнанию выложил его в свой публичный GitHub. Месяц разгребали последствия...
Следующий шаг — настроить модель пользователя для работы с Passport. Откройте файл App\Models\User.php и добавьте трейт HasApiTokens:
| PHP | 1
2
3
4
5
6
7
| use Laravel\Passport\HasApiTokens;
class User extends Authenticatable
{
use HasApiTokens, Notifiable;
// остальной код модели...
} |
|
App\Providers\AuthServiceProvider.php и добавьте в метод boot():
| PHP | 1
2
3
4
5
6
7
8
9
10
| public function boot()
{
$this->registerPolicies();
Passport::routes();
// Дополнительно можно настроить срок жизни токенов
Passport::tokensExpireIn(now()->addDays(15));
Passport::refreshTokensExpireIn(now()->addDays(30));
} |
|
use Laravel\Passport\Passport; в начало файла!
Последний обязательный шаг — настройка драйвера аутентификации. В файле config/auth.php найдите секцию guards и измените драйвер для api:
| PHP | 1
2
3
4
5
6
7
8
9
10
11
| 'guards' => [
'web' => [
'driver' => 'session',
'provider' => 'users',
],
'api' => [
'driver' => 'passport', // Было 'token'
'provider' => 'users',
],
], |
|
Например, определение областей действия (scopes). В том же AuthServiceProvider.php можно добавить:
| PHP | 1
2
3
4
5
6
7
8
9
10
11
| Passport::tokensCan([
'place-orders' => 'Размещать заказы',
'check-status' => 'Проверять статус заказов',
'manage-account' => 'Управлять аккаунтом',
]);
// Устанавливаем скопы по умолчанию
Passport::setDefaultScope([
'check-status',
'manage-account',
]); |
|
| JavaScript | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
| // В resources/js/app.js
Vue.component(
'passport-clients',
require('./components/passport/Clients.vue').default
);
Vue.component(
'passport-authorized-clients',
require('./components/passport/AuthorizedClients.vue').default
);
Vue.component(
'passport-personal-access-tokens',
require('./components/passport/PersonalAccessTokens.vue').default
); |
|
| PHP | 1
2
3
4
5
6
7
8
| Passport::withCookieTransport(function ($request, $user, $token) {
if ($request->ip() != $token->last_used_ip) {
// Подозрительная активность, отклоняем токен
return false;
}
return true;
}); |
|
.env добавьте:
| PHP | 1
2
| PASSPORT_PRIVATE_KEY="-----BEGIN RSA PRIVATE KEY-----\nYour-Private-Key\n-----END RSA PRIVATE KEY-----"
PASSPORT_PUBLIC_KEY="-----BEGIN PUBLIC KEY-----\nYour-Public-Key\n-----END PUBLIC KEY-----" |
|
| PHP | 1
2
3
4
5
6
7
8
9
10
| // В сервис-провайдере
public function register()
{
$this->app->singleton(TokenRepository::class, function ($app) {
return new CachedTokenRepository(
$app->make(TokenRepository::class),
$app->make(Cache::class)
);
});
} |
|
Реализация различных типов грантов OAuth2
Мир OAuth2 сложен и многогранен, особенно когда речь заходит о разнообразии типов грантов. Каждый тип — как специальный инструмент в арсенале разработчика, созданный для конкретного сценария. Выбрать правильный тип гранта — всё равно что выбрать правильный ключ к замку: подойдёт только один.
Давайте начнём с самого простого — Password Grant (или Resource Owner Password Credentials Grant). Это самый прямолинейный способ получить токен, когда пользователь просто передаёт свои учетные данные приложению. В идеальном мире его следовало бы избегать, но в реальности он часто становится единственным практичным решением для мобильных приложений или интерфейсов с единым входом.
| PHP | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
| Route::post('/login', function (Request $request) {
$http = new GuzzleHttp\Client;
try {
$response = $http->post(config('app.url').'/oauth/token', [
'form_params' => [
'grant_type' => 'password',
'client_id' => config('passport.password_client_id'),
'client_secret' => config('passport.password_client_secret'),
'username' => $request->email,
'password' => $request->password,
'scope' => '',
],
]);
return json_decode((string) $response->getBody(), true);
} catch (\GuzzleHttp\Exception\ClientException $e) {
return response()->json([
'message' => 'Неверные учетные данные'
], 401);
}
}); |
|
| PHP | 1
2
3
4
5
6
7
8
| $response = $http->post(config('app.url').'/oauth/token', [
'form_params' => [
'grant_type' => 'client_credentials',
'client_id' => $clientId,
'client_secret' => $clientSecret,
'scope' => 'view-payments process-reports',
],
]); |
|
| PHP | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
| // Шаг 1: Перенаправление на страницу авторизации
Route::get('/oauth/redirect', function () {
$query = http_build_query([
'client_id' => config('passport.client_id'),
'redirect_uri' => url('/oauth/callback'),
'response_type' => 'code',
'scope' => 'view-profile edit-profile',
]);
return redirect(url('/oauth/authorize?'.$query));
});
// Шаг 2: Обмен кода на токен
Route::get('/oauth/callback', function (Request $request) {
$http = new GuzzleHttp\Client;
$response = $http->post(url('/oauth/token'), [
'form_params' => [
'grant_type' => 'authorization_code',
'client_id' => config('passport.client_id'),
'client_secret' => config('passport.client_secret'),
'redirect_uri' => url('/oauth/callback'),
'code' => $request->code,
],
]);
$tokenData = json_decode((string) $response->getBody(), true);
// Сохраняем токен в сессии, куках или возвращаем клиенту
return $tokenData;
}); |
|
Каждый тип гранта в Laravel Passport настраивается отдельно. Для Password Grant нужно создать специального клиента:
| Bash | 1
| php artisan passport:client --password |
|
| Bash | 1
| php artisan passport:client --client |
|
| Bash | 1
| php artisan passport:client |
|
Особенно интересен механизм PKCE (Proof Key for Code Exchange), который представляет собой расширение для Authorization Code Grant. Он был создан специально для мобильных и SPA-приложений, где невозможно надёжно хранить client_secret. При использовании PKCE клиент генерирует случайную строку (code_verifier), хэширует её (code_challenge) и отправляет хэш на сервер авторизации. При обмене кода на токен клиент отправляет оригинальный code_verifier, который сервер хэширует и сравнивает с сохранённым code_challenge.
Многоступенчатая аутентификация (2FA/MFA) тоже прекрасно сочетается с OAuth2. Я обычно реализую её как дополнительный этап после стандартной авторизации:
| PHP | 1
2
3
4
5
6
7
8
9
10
11
12
13
| // После стандартной аутентификации
if ($user->hasTwoFactorEnabled()) {
// Генерируем временный токен с ограниченными правами
$tempToken = $user->createToken('2fa-pending', ['2fa-pending'])->accessToken;
// Отправляем код подтверждения
$user->sendTwoFactorCode();
return response()->json([
'requires_2fa' => true,
'temp_token' => $tempToken
]);
} |
|
Не стоит забывать и про Personal Access Tokens — уникальную возможность Passport, которая позволяет пользователям создавать долгоживущие токены для интеграции с API напрямую. Это особено удобно для разработчиков, использующих ваш API.
Защита от CSRF атак при реализации OAuth2
CSRF (Cross-Site Request Forgery) атаки — настоящий кошмар для OAuth2 реализаций. Суть проблемы в том, что злоумышленник может подделать запрос от имени аутентифицированного пользователя, заставив браузер жертвы отправить запрос с легитимными куками или заголовками. В контексте OAuth2 это особенно опасно при использовании Authorization Code и Implicit грантов, где перенаправления играют ключевую роль. Классический сценарий CSRF-атаки на OAuth2 выглядит так: пользователь авторизован на сервисе, а злоумышленник подсовывает ему ссылку/страницу с вредоносным кодом, который инициирует авторизационный поток с предварительно заданным redirect_uri. В результате токен или код авторизации может уйти не туда, куда предполагалось.
Laravel Passport предоставляет встроенную защиту через CSRF-токены для форм авторизации, но это только часть решения. Для полноценной защиты необходимо использовать параметр state — случайное значение, генерируемое клиентом перед началом OAuth2 потока:
| PHP | 1
2
3
4
5
6
7
8
9
10
11
12
13
| // Генерация state перед перенаправлением
$state = Str::random(40);
session(['oauth2_state' => $state]);
$query = http_build_query([
'client_id' => config('passport.client_id'),
'redirect_uri' => url('/oauth/callback'),
'response_type' => 'code',
'scope' => 'profile',
'state' => $state // Защита от CSRF
]);
return redirect(url('/oauth/authorize?'.$query)); |
|
state тому, что было сохранено в сессии:
| PHP | 1
2
3
4
5
6
7
8
| Route::get('/oauth/callback', function (Request $request) {
// Проверка state для защиты от CSRF
if ($request->state !== session('oauth2_state')) {
abort(403, 'Недопустимое состояние');
}
// Обмен кода на токен...
}); |
|
state отмечен как опциональный, но на практике его использование должно быть обязательным для любого публичного API. Без него любой Authorization Code Grant становится уязвимым для CSRF. Для SPA-приложений ситуация осложняется тем, что куки для API и для фронтенда могут находится в разных доменах. Здесь помогают CORS-заголовки и настройка withCredentials для AJAX-запросов. Passport автоматически устанавливает нужные CORS-заголовки, но некоторые конфигурации могут потребовать ручных настроек в config/cors.php.
Помню случай из практики, когда одному из моих клиентов удалось взломать собственное приложение через CSRF, потомучто в огороде бузина, а в Киеве дядька… то есть в системе не учли проверку state при редиректе. Целый день разбирались почему токены "утекают" при определённой последовательности действий.
Ещё один хитрый момент — защита от CSRF для публичных клиентов (мобильные приложения, десктоп). Там нельзя надёжно хранить secret, поэтому лучше всего использовать PKCE расширение вместе с state. PKCE обеспечивает дополнительный слой защиты именно для таких сценариев.
Реализация Refresh Token механизма и стратегии обновления токенов
Refresh токены — это секретное оружие в арсенале OAuth2, позволяющее найти золотую середину между безопасностью и удобством пользователей. Суть проста: выдаём два токена вместо одного. Access token — короткоживущий (минуты или часы), используется для доступа к API. Refresh token — долгоживущий (дни или недели), служит только для получения новых access токенов без повторной аутентификации. Базовая реализация в Laravel Passport уже включает поддержку refresh токенов. Когда пользователь аутентифицируется через Password Grant или Authorization Code Grant, сервер возвращает оба токена:
| PHP | 1
2
3
4
5
6
7
8
9
10
11
12
13
| $response = $http->post('/oauth/token', [
'form_params' => [
'grant_type' => 'password',
'client_id' => $clientId,
'client_secret' => $clientSecret,
'username' => 'email@example.com',
'password' => 'password',
'scope' => '',
],
]);
$responseData = json_decode((string) $response->getBody(), true);
// $responseData содержит access_token и refresh_token |
|
| PHP | 1
2
3
4
5
6
7
8
9
| $response = $http->post('/oauth/token', [
'form_params' => [
'grant_type' => 'refresh_token',
'refresh_token' => $refreshToken,
'client_id' => $clientId,
'client_secret' => $clientSecret,
'scope' => '',
],
]); |
|
| PHP | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
| // Кастомный обработчик обновления токенов
Route::post('/token/refresh', function (Request $request) {
// Валидация refresh токена
$validator = Validator::make($request->all(), [
'refresh_token' => 'required|string'
]);
if ($validator->fails()) {
return response()->json(['error' => 'Invalid refresh token'], 400);
}
try {
// Делаем запрос к стандартному endpoint Passport
$response = app(Client::class)->post(url('/oauth/token'), [
'form_params' => [
'grant_type' => 'refresh_token',
'refresh_token' => $request->refresh_token,
'client_id' => config('services.passport.client_id'),
'client_secret' => config('services.passport.client_secret'),
'scope' => '',
],
]);
// Отзываем старый refresh токен для безопасности
// Это требует дополнительной логики в базе
$this->revokeOldRefreshToken($request->refresh_token);
return json_decode((string) $response->getBody(), true);
} catch (\Exception $e) {
return response()->json(['error' => 'Invalid refresh token'], 401);
}
}); |
|
Важный момент: на фронтенде нужно внедрить "перехватчик запросов" (request interceptor), который автоматически обновляет токены при ошибке 401. В React с Axios это может выглядеть так:
| JavaScript | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
| // Упрощенный пример для React/Axios
axiosInstance.interceptors.response.use(
response => response,
async error => {
if (error.response.status === 401 && refreshToken) {
try {
const newTokens = await refreshAccessToken(refreshToken);
// Обновляем токены в хранилище
setAuthTokens(newTokens);
// Повторяем оригинальный запрос
return axiosInstance(error.config);
} catch (refreshError) {
// Если не удалось обновить - логаут
logout();
}
}
return Promise.reject(error);
}
); |
|
Расширенные возможности и проблемы
Выстроив базовую инфраструктуру OAuth2 в Laravel с помощью Passport, самое время погрузиться в более продвинутые техники и подводные камни, с которыми вы обязательно столкнётесь в боевых условиях. Управление жизненным циклом токенов — первая головная боль, которая возникает при росте системы. В идеальном мире токены создаются, используются и вовремя истекают, но реальность, как всегда, вносит коррективы. Например, что делать с токенами пользователей, изменивших критические данные профиля или сменивших пароль? Очевидное решение — автоматическое аннулирование:
| PHP | 1
2
3
4
5
6
7
8
9
10
11
12
| // В обработчике смены пароля
public function changePassword(Request $request)
{
// Валидация, обновление пароля...
// Отзываем все токены пользователя
$request->user()->tokens->each(function ($token) {
$token->revoke();
});
return response()->json(['message' => 'Пароль изменён, все сеансы завершены']);
} |
|
| PHP | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
| // В кастомном middleware
public function handle($request, Closure $next)
{
$user = $request->user();
if ($user && $user->is_banned) {
// Отзываем токен текущего запроса
$request->user()->token()->revoke();
return response()->json([
'error' => 'Ваш аккаунт заблокирован'
], 403);
}
return $next($request);
} |
|
| PHP | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
| // При аутентификации
$token = $user->createToken('Mobile App', ['*'], [
'device_id' => $request->header('X-Device-ID')
])->accessToken;
// При логауте с конкретного устройства
Route::post('/logout-device', function (Request $request) {
$deviceId = $request->device_id;
$request->user()->tokens()
->where('name', 'Mobile App')
->where('device_id', $deviceId)
->get()
->each(function ($token) {
$token->revoke();
});
return response()->json(['message' => 'Устройство отключено']);
}); |
|
| PHP | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
| // Проверка иерархических прав доступа
class CompanyAccessGate
{
public function handle($request, $next, $actions)
{
$user = $request->user();
$companyId = $request->route('company');
if (!$this->userHasCompanyAccess($user, $companyId, $actions)) {
return response()->json(['error' => 'Недостаточно прав'], 403);
}
return $next($request);
}
protected function userHasCompanyAccess($user, $companyId, $actions)
{
$membership = $user->companyMemberships()->where('company_id', $companyId)->first();
if (!$membership) {
return false;
}
return $membership->role->hasPermissions($actions);
}
} |
|
Ещё одна интересная техника — обогащение токенов метаданными. Стандартный JWT уже содержит базовую информацию, но дополнительные поля могут существенно оптимизировать производительность. Например, сохранение основных данных профиля в токене избавляет от лишних запросов к базе:
| PHP | 1
2
3
4
5
6
7
8
| // При создании токена
$token = $user->createToken('API Token', ['*'], [
'profile' => [
'name' => $user->name,
'role' => $user->role,
'settings' => $user->settings->only(['language', 'timezone'])
]
])->accessToken; |
|
Мониторинг и аудит использования OAuth2 токенов
Обеспечение безопасности API — это не разовое мероприятие, а непрерывный процесс. Недостаточно просто внедрить OAuth2 и забыть о нём; необходимо постоянно отслеживать, как используются выданные токены, выявлять аномалии и оперативно реагировать на подозрительную активность. И тут на арену выходит мониторинг и аудит — системы раннего обнаружения проблем, без которых сложно представить серьёзное API-решение. Базовый мониторинг токенов в Laravel Passport уже встроен — вы можете узнать, когда был создан токен, когда он использовался в последний раз и когда истекает. Но для реальных проектов этого катастрофически мало. Я обычно рекомендую расширить стандартную моделю токена дополнительными полями:
| PHP | 1
2
3
4
5
6
| Schema::table('oauth_access_tokens', function (Blueprint $table) {
$table->string('user_agent')->nullable();
$table->string('ip_address')->nullable();
$table->string('geolocation')->nullable();
$table->json('usage_stats')->nullable();
}); |
|
Laravel\Passport\Events\AccessTokenCreated:
| PHP | 1
2
3
4
5
6
7
8
9
10
11
12
13
| Event::listen(AccessTokenCreated::class, function ($event) {
$request = request();
$token = Passport::token()->find($event->tokenId);
if ($token) {
$token->user_agent = $request->header('User-Agent');
$token->ip_address = $request->ip();
$token->geolocation = optional(
geoip()->getLocation($request->ip())
)->toArray();
$token->save();
}
}); |
|
| PHP | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
| class ApiAuditMiddleware
{
public function handle($request, Closure $next)
{
$response = $next($request);
// Логируем только после успешного ответа
if ($response->getStatusCode() < 500) {
$this->logApiRequest($request, $response);
}
return $response;
}
protected function logApiRequest($request, $response)
{
try {
ApiRequestLog::create([
'token_id' => optional($request->user('api'))->token()->id,
'user_id' => optional($request->user('api'))->id,
'path' => $request->path(),
'method' => $request->method(),
'ip_address' => $request->ip(),
'user_agent' => $request->header('User-Agent'),
'request_data' => $this->sanitizeData($request->all()),
'response_code' => $response->getStatusCode(),
'response_data' => $this->sanitizeData(
json_decode($response->getContent(), true)
),
'execution_time' => microtime(true) - LARAVEL_START,
]);
} catch (\Exception $e) {
Log::error('Failed to log API request: ' . $e->getMessage());
}
}
protected function sanitizeData($data)
{
// Удаляем конфиденциальные поля перед логированием
if (is_array($data)) {
foreach (['password', 'token', 'credit_card', 'secret'] as $field) {
if (isset($data[$field])) {
$data[$field] = '*[B]REDACTED[/B]*';
}
}
}
return $data;
}
} |
|
1. Логировать запросы асинхронно через очереди.
2. Использовать отдельную базу для логов (например, MongoDB или ClickHouse).
3. Настроить ротацию и/или агрегацию устаревших логов.
Когда базовый мониторинг настроен, пора переходить к поиску аномалий. Самые распространённые паттерны подозрительной активности включают:- Одновременное использование одного токена с разных IP-адресов.
- Резкое увеличение частоты запросов.
- Необычное географическое происхождение запросов.
- Систематические попытки доступа к ресурсам без нужных прав.
Для отлова таких ситуаций можно использовать специализированные решения, но для начала достаточно простого cron-задания:
| PHP | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
| // В планировщике задач
$schedule->call(function () {
// Поиск токенов, используемых с нескольких IP
$multiIpTokens = ApiRequestLog::selectRaw('token_id, COUNT(DISTINCT ip_address) as ip_count')
->where('created_at', '>=', now()->subHours(1))
->groupBy('token_id')
->having('ip_count', '>', 3)
->get();
if ($multiIpTokens->isNotEmpty()) {
// Отправляем уведомление командам безопасности
SecurityAlert::dispatch(
'Multiple IP usage detected',
$multiIpTokens->pluck('token_id')->toArray()
);
}
// Другие проверки...
})->hourly(); |
|
1. Какие эндпоинты вызываются чаще всего — кандидаты на кэширование.
2. Какие клиенты создают избыточную нагрузку — возможно, им нужна оптимизация или ограничения.
3. Какие маршруты вызывают больше всего ошибок — приоритеты для исправления багов.
На своём последнем проекте я был удивлён, обнаружив, что 70% нагрузки создавал один клиент, который зациклился и отправлял десятки запросов в секунду. Без детального мониторинга мы бы просто продолжали масштабировать серверы, вместо того чтобы исправить простую ошибку в коде клиента.
Риск-ориентированный подход к защите API
Особого внимания заслуживает реализация риск-ориентированного подхода к безопасности. Идея проста — чем рискованнее выглядит запрос, тем строже должна быть проверка. Например, для операций с высоким риском (смена пароля, финансовые транзакции) можно требовать дополнительное подтверждение:
| PHP | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
| // Middleware для защиты критических операций
class RiskBasedSecurityMiddleware
{
public function handle($request, Closure $next)
{
$user = $request->user();
$riskScore = $this->calculateRiskScore($request);
if ($riskScore > 80) {
// Критически высокий риск — требуем повторную аутентификацию
return response()->json([
'message' => 'Для выполнения этой операции требуется повторная аутентификация',
'action_required' => 'reauthenticate'
], 403);
} elseif ($riskScore > 50) {
// Средний риск — проверяем дополнительные факторы
if (!$this->verifyAdditionalFactors($user, $request)) {
return response()->json([
'message' => 'Требуется дополнительное подтверждение',
'action_required' => 'verify_additional_factors'
], 403);
}
}
return $next($request);
}
protected function calculateRiskScore($request)
{
$score = 0;
$user = $request->user();
$token = $user->token();
// Факторы увеличения риска
if ($request->ip() !== $token->ip_address) {
$score += 30; // Смена IP
}
if (!$this->isKnownDevice($request, $user)) {
$score += 25; // Новое устройство
}
if ($this->isUnusualTime($user)) {
$score += 10; // Необычное время активности
}
if ($this->isSensitiveOperation($request)) {
$score += 30; // Чувствительная операция
}
return $score;
}
// Другие методы...
} |
|
Вопросы масштабирования Passport в высоконагруженных приложениях
Когда ваш API начинает обслуживать десятки или сотни запросов в секунду, стандартные настройки Laravel Passport перестают справляться, и вопросы масштабирования выходят на первый план. Проблема осложняется тем, что аутентификация и авторизация — это критически важные компоненты, где ошибки недопустимы, а времена отклика должны быть минимальны.
Первое узкое место обычно возникает на уровне базы данных. При каждом запросе с токеном Passport выполняет как минимум один SQL-запрос для проверки валидности токена и получения информации о пользователе. При высоких нагрузках это создаёт существенное давление на базу. Решение — кэширование токенов:
| PHP | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
| class CachedTokenRepository implements TokenRepositoryInterface
{
protected $repository;
protected $cache;
protected $expires;
public function __construct(
TokenRepositoryInterface $repository,
Repository $cache,
$expires = 60
) {
$this->repository = $repository;
$this->cache = $cache;
$this->expires = $expires;
}
public function find($id)
{
return $this->cache->remember(
"oauth_token_{$id}",
$this->expires,
function () use ($id) {
return $this->repository->find($id);
}
);
}
// Реализация остальных методов интерфейса...
} |
|
| PHP | 1
2
3
4
5
6
7
| $this->app->singleton(TokenRepositoryInterface::class, function ($app) {
return new CachedTokenRepository(
$app->make(TokenRepository::class),
$app->make(Repository::class),
config('passport.token_cache_ttl', 60)
);
}); |
|
Другой подход к оптимизации — использование самодостаточных JWT-токенов вместо непрозрачных (opaque) токенов, которые Passport использует по умолчанию. В JWT весь контекст безопасности хранится внутри самого токена, что позволяет валидировать его без обращения к базе данных:
| PHP | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
| // Кастомный Guard для JWT-токенов
class JwtGuard implements Guard
{
protected $request;
protected $provider;
protected $jwtManager;
public function __construct(
Request $request,
UserProvider $provider,
JwtManager $jwtManager
) {
$this->request = $request;
$this->provider = $provider;
$this->jwtManager = $jwtManager;
}
public function user()
{
if ($this->user) {
return $this->user;
}
$token = $this->getTokenFromRequest();
if (!$token) {
return null;
}
try {
$payload = $this->jwtManager->decode($token);
// Валидация без запроса к БД
if ($payload['exp'] < time()) {
return null;
}
// Получаем пользователя только по ID
$this->user = $this->provider->retrieveById($payload['sub']);
return $this->user;
} catch (\Exception $e) {
return null;
}
}
// Другие методы Guard...
} |
|
| PHP | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
| class BlacklistJwtGuard extends JwtGuard
{
protected $blacklist;
public function __construct(
Request $request,
UserProvider $provider,
JwtManager $jwtManager,
TokenBlacklist $blacklist
) {
parent::__construct($request, $provider, $jwtManager);
$this->blacklist = $blacklist;
}
public function user()
{
if ($this->user) {
return $this->user;
}
$token = $this->getTokenFromRequest();
if (!$token) {
return null;
}
try {
$payload = $this->jwtManager->decode($token);
// Проверка на отозванность
if ($this->blacklist->has($payload['jti'])) {
return null;
}
// Остальные проверки...
} catch (\Exception $e) {
return null;
}
}
} |
|
Отдельный аспект масштабирования — оптимизация проверки скоупов. В Passport scope-проверка по умолчанию требует загрузки всех скоупов токена из базы. Для приложений с большим количеством скоупов это может быть неоптимально. Мой подход — кэширование скоупов вместе с токеном:
| PHP | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
| class ScopeRepository extends \Laravel\Passport\Bridge\ScopeRepository
{
protected $cache;
public function __construct(\Laravel\Passport\Bridge\ScopeRepository $repository, Repository $cache)
{
// Наследуем базовое поведение
parent::__construct();
$this->cache = $cache;
}
public function finalizeScopes(
array $scopes,
$grantType,
\League\OAuth2\Server\Entities\ClientEntityInterface $clientEntity,
$userIdentifier = null
) {
// Используем кэш для частых комбинаций скоупов
$cacheKey = "oauth_scopes_{$grantType}_{$clientEntity->getIdentifier()}_{$userIdentifier}";
return $this->cache->remember($cacheKey, 60, function () use ($scopes, $grantType, $clientEntity, $userIdentifier) {
return parent::finalizeScopes($scopes, $grantType, $clientEntity, $userIdentifier);
});
}
} |
|
throttle, но для продакшн-систем я рекомендую более гибкий подход:
| PHP | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
| class DynamicThrottleMiddleware
{
protected $limiter;
public function __construct(RateLimiter $limiter)
{
$this->limiter = $limiter;
}
public function handle($request, Closure $next, $maxAttempts = 60, $decayMinutes = 1)
{
$user = $request->user();
// Динамически определяем лимиты в зависимости от клиента
if ($user) {
$client = $user->token()->client;
if ($client->high_rate_limit) {
$maxAttempts = 1000;
$decayMinutes = 1;
} elseif ($client->is_internal) {
// Внутренние сервисы могут делать больше запросов
$maxAttempts = 3000;
$decayMinutes = 1;
}
}
// Стандартная логика throttle
// ...
return $next($request);
}
} |
|
Не забывайте об одном из самых эффективных способов масштабирования — кэшировании результатов API-запросов. Для ресурсов, которые часто читаются, но редко изменяются, HTTP-кэширование через заголовки Cache-Control может снизить нагрузку на аутентификацию на порядки. А для приватных данных можно использовать техники кэширования на уровне пользователя:
| PHP | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
| class UserCacheMiddleware
{
public function handle($request, Closure $next)
{
$response = $next($request);
if ($request->isMethod('GET') && $user = $request->user()) {
// Добавляем заголовки для CDN или Proxy
$response->header('Cache-Control', 'private, max-age=60');
$response->header('X-User-ID', $user->id);
// Для корректной работы с Varnish или другими CDN
$response->header('Vary', 'Authorization');
}
return $response;
}
} |
|
Безопасное хранение ключей и секретов в production-окружении
Безопасность API — это цепь, прочная настолько, насколько прочно её самое слабое звено. И часто таким звеном становится именно хранение ключей и секретов. Можно внедрить самые прогрессивные методы аутентификации, но если ваши приватные ключи хранятся в опенсорс репозитории или на общедоступных серверах — всё это теряет смысл.
В контексте Laravel Passport критически важны следующие секреты:
1. Приватные ключи для подписи токенов.
2. Client secrets для OAuth2 клиентов.
3. Мастер-ключи шифрования.
Начнём с приватных ключей. По умолчанию Passport генерирует пару ключей (публичный и приватный) при выполнении команды passport:install. Они сохраняются в директорию storage/oauth-*keys.key. Первое правило безопасности — эти файлы никогда не должны попасть в систему контроля версий:
| PHP | 1
2
| # В .gitignore
/storage/*.key |
|
| PHP | 1
2
3
4
5
| // В config/passport.php
'keys' => [
'private' => env('PASSPORT_PRIVATE_KEY'),
'public' => env('PASSPORT_PUBLIC_KEY'),
], |
|
.env файле — тоже не идеал. В production-окружении лучше использовать специализированные хранилища секретов, такие как AWS Secrets Manager, HashiCorp Vault или Azure Key Vault. Laravel не поддерживает их "из коробки", но интеграция не так сложна:
| PHP | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
| // Пример для AWS Secrets Manager
public function register()
{
$this->app->booted(function () {
if (config('app.env') === 'production') {
$secretsManager = new \Aws\SecretsManager\SecretsManagerClient([
'version' => 'latest',
'region' => env('AWS_DEFAULT_REGION'),
]);
try {
$result = $secretsManager->getSecretValue([
'SecretId' => 'passport/keys',
]);
$secret = json_decode($result['SecretString'], true);
config([
'passport.keys.private' => $secret['private_key'],
'passport.keys.public' => $secret['public_key'],
]);
} catch (\Exception $e) {
report($e);
}
}
});
} |
|
Интересный подход к повышению безопасности OAuth2 клиентов — периодическая ротация секретов. В отличие от приватных ключей, которые используются для подписи всех токенов, секреты клиентов можно менять без нарушения работы существующих токенов:
| PHP | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
| // Команда для ротации секретов клиентов
public function handle()
{
$clients = Client::where('password_client', true)
->where('updated_at', '<', now()->subDays(90))
->get();
foreach ($clients as $client) {
$this->rotateClientSecret($client);
}
}
protected function rotateClientSecret(Client $client)
{
$newSecret = Str::random(40);
// Храним старый секрет на период перехода
$oldSecret = $client->secret;
$client->old_secret = password_hash($oldSecret, PASSWORD_BCRYPT);
$client->old_secret_expires_at = now()->addDays(7);
// Устанавливаем новый секрет
$client->secret = password_hash($newSecret, PASSWORD_BCRYPT);
$client->save();
// Уведомляем владельцев клиента
ClientSecretRotated::dispatch($client, $newSecret);
} |
|
| PHP | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
| // Переопределение метода validateClient в ClientRepository
public function validateClient($clientId, $clientSecret, $grantType)
{
$client = $this->findActive($clientId);
if (!$client) {
return false;
}
// Проверяем текущий секрет
if (hash_equals($client->secret, $clientSecret) ||
password_verify($clientSecret, $client->secret)) {
return true;
}
// Проверяем старый секрет, если он ещё действителен
if ($client->old_secret && $client->old_secret_expires_at > now()) {
if (hash_equals($client->old_secret, $clientSecret) ||
password_verify($clientSecret, $client->old_secret)) {
return true;
}
}
return false;
} |
|
| YAML | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
| # .github/workflows/deploy.yml
jobs:
deploy:
runs-on: ubuntu-latest
steps:
- uses: actions/checkout@v2
# Используем секреты, которые не сохраняются в логах
- name: Configure Passport
env:
PASSPORT_PRIVATE_KEY: ${{ secrets.PASSPORT_PRIVATE_KEY }}
PASSPORT_PUBLIC_KEY: ${{ secrets.PASSPORT_PUBLIC_KEY }}
run: |
echo "export PASSPORT_PRIVATE_KEY='$PASSPORT_PRIVATE_KEY'" > .env.production
echo "export PASSPORT_PUBLIC_KEY='$PASSPORT_PUBLIC_KEY'" >> .env.production |
|
| PHP | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
| // Пример использования AWS KMS для подписи токенов
class KmsTokenSigner implements TokenSignerInterface
{
protected $kmsClient;
protected $keyId;
public function __construct($keyId)
{
$this->kmsClient = new \Aws\Kms\KmsClient([
'version' => 'latest',
'region' => env('AWS_DEFAULT_REGION'),
]);
$this->keyId = $keyId;
}
public function sign($payload)
{
$result = $this->kmsClient->sign([
'KeyId' => $this->keyId,
'Message' => $payload,
'MessageType' => 'RAW',
'SigningAlgorithm' => 'RSASSA_PKCS1_V1_5_SHA_256',
]);
return $result['Signature'];
}
} |
|
1. Используйте VPC и приватные подсети для изоляции API-серверов.
2. Настройте правила файрвола, разрешающие только необходимый трафик.
3. Применяйте RBAC для доступа к серверам и БД.
4. Регулярно обновляйте ОС и зависимости.
5. Настройте мониторинг и аудит доступа к критическим компонентам.
И наконец, регулярное тестирование на проникновение (penetration testing) — единственный по-настоящему эффективный способ убедиться, что все ваши меры безопасности работают как ожидается. Ни теория, ни code review не заменят реальную попытку взлома, проведённую квалифицированными специалистами.
Хочу понять принцип работы laravel-passport,oauth 2.0
Правильно ли,когда я авторизовываюсь через log,pass по api
я получаю bearer token. Он записывается... Неправильно работают маршруты laravel-passport
У меня есть для авторизации маршрут api
http://localhost/api/crm/login
в postman сразу... Laravel Passport. Не работает кастомная валидация пароля
Доброго времени суток, пытаюсь изучить новый фреймворк. Решил начать с разработки REST API и... Авторизация на сайте через oauth2 google на curl
Задача: скачать файлы из сайта
Проблема задачи: сайт просит авторизоваться через oauth2 google,... Лабораторная по веб-технологиям (Angular, REST API с oAuth2)
На основе макета создать приложение с Angular роутингом и адаптивным дизайном. Серверная часть REST... API facebook Oauth2.0 Работает?
Собственно зашел в кабинет, а там только вариант js SDK ?
Мб не там искал? Вариант через Oauth 2.0... Laravel 5.2 - аутентификация, настройки в файле Kernel.php
Вопрос по файлу Kernel.php
Там есть строки, где прописаны routeMiddleware:
protected... Laravel аутентификация через sqlsrv
Доброго времени суток. Столкнулся с проблемой аутентификации из коробки. Цель такова: пользователь... Laravel Nova аутентификация
*авторизация
laravel nova после установки ищет пользователя в таблице User.
У меня же этой... Installing laravel/laravel (v5.8.17) [ErrorException] mkdir(): Invalid path
Я только начинаю разбираться не судите строго. Пытаюсь установить laravel на XAMPPv3.2.4 командою... Объединить laravel и Форум (Laravel + XenForo)
Здравствуйте!
Суть:
Есть магазин на Laravel и есть Форум на XenForo
Нужно объединить профиль... OAuth2 как настроить redirect URI?
Пытаюсь создать Slack приложение, вроде все создается, но для возможности регистрации на других...
|
