LaravelFortify自定义密码令牌方法

在文章实战开发的过程中，我们经常会遇到一些这样那样的问题，然后要卡好半天，等问题解决了才发现原来一些细节知识点还是没有掌握好。今天golang学习网就整理分享《Laravel Fortify 自定义密码令牌生成方法》，聊聊，希望可以帮助到正在努力赚钱的你。

理解问题：为什么 Str::random() 生成的令牌无效？

在定制Laravel Fortify的认证流程时，例如实现一个“欢迎邮件”式的初始密码设置流程，或者一个非标准的密码重置流程，开发者可能会尝试手动生成一个随机字符串作为密码设置令牌。常见的方法是使用 Str::random(60)。然而，这种方法生成的令牌在Fortify或Laravel的内置密码重置机制中是无效的，会导致“令牌不被接受”的错误。

其根本原因在于，Laravel的密码重置系统（包括Fortify所依赖的底层机制）不仅仅是生成一个随机字符串。它要求令牌必须经过特定的处理：

1. 哈希处理： 令牌在存储到数据库（通常是 password_resets 表）之前会被哈希。
2. 数据库存储： 令牌、用户邮箱以及创建时间需要被记录到 password_resets 表中。
3. 验证逻辑： 当用户点击链接并提交新密码时，系统会查找数据库中对应的记录，并对用户提供的令牌进行哈希后与数据库中存储的哈希值进行比对。

Str::random() 仅仅生成一个随机字符串，它不执行哈希，也不负责将令牌信息存储到数据库中。因此，当Fortify尝试验证这个手动生成的令牌时，由于缺乏对应的数据库记录和正确的哈希比对，验证自然会失败。

解决方案：使用 PasswordBroker 服务生成有效令牌

Laravel提供了一个专门的服务来处理密码重置令牌的生成和管理，即 Illuminate\Auth\Passwords\PasswordBroker。这个服务负责所有必要的底层操作，包括生成加密安全的令牌、对其进行哈希处理，并将其存储到 password_resets 表中。

使用 PasswordBroker 生成令牌的正确方法是调用其 createToken() 方法，并传入对应的用户模型实例。

示例代码

以下代码展示了如何在你的控制器或服务中，为新创建的用户生成一个有效的密码创建令牌，并发送通知：

validate([
            'name' => 'required|string|max:255',
            'email' => 'required|string|email|max:255|unique:users',
            // 根据需要添加其他用户字段的验证规则
        ]);

        // 2. 创建用户实例
        // 为新用户设置一个临时或占位密码。
        // 最终的密码将由用户通过链接设置。
        $user = User::create(array_merge(
            $validatedData,
            ['password' => Hash::make(Str::random(10))] // 创建一个临时密码
        ));

        // 3. 使用 PasswordBroker 生成有效令牌
        // 这是关键步骤：PasswordBroker 会生成令牌，哈希它，并将其存储到 password_resets 表中。
        $token = app(PasswordBroker::class)->createToken($user);

        // 4. 发送密码创建/重置通知
        // 确保你的通知类 (例如 sendPasswordCreateNotification) 能够接收并正确使用这个令牌。
        // 通知中应包含一个指向 Fortify 密码重置路由的 URL，并附带此令牌。
        // 例如：URL::temporarySignedRoute('password.reset', now()->addMinutes(60), ['token' => $token, 'email' => $user->email]);
        $user->sendPasswordCreateNotification($token);

        // 5. 返回成功响应
        return redirect()->route('users.index')->with('status', '用户创建成功，密码设置链接已发送！');
    }
}

代码解析

• use Illuminate\Auth\Passwords\PasswordBroker;: 引入 PasswordBroker 类。
• $user = User::create(...): 正常创建用户，可以为其设置一个临时密码或空密码，具体取决于你的业务逻辑。Fortify的密码重置机制最终会处理用户设置的新密码。
• $token = app(PasswordBroker::class)->createToken($user);: 这是核心所在。
  • app(PasswordBroker::class) 从服务容器中解析出 PasswordBroker 实例。
  • createToken($user) 方法接收一个 User 模型实例。它会执行以下操作：
    • 生成一个加密安全的原始令牌。
    • 对这个原始令牌进行哈希。
    • 将哈希后的令牌、用户邮箱和当前时间戳存储到 config/auth.php 中 passwords.users.table 配置指定的表中（默认为 password_resets）。
    • 返回原始的、未哈希的令牌。这个原始令牌就是你需要发送给用户的，用于构建密码重置链接的部分。
• $user->sendPasswordCreateNotification($token);: 你的自定义通知类（sendPasswordCreateNotification）需要将这个 $token 包含在发送给用户的邮件链接中。通常，这个链接会指向Fortify的密码重置路由，例如： {{ route('password.reset', ['token' => $token, 'email' => $user->email]) }}

注意事项与最佳实践

1. 通知类集成： 确保你的自定义通知类（例如 PasswordCreateNotification 或 PasswordResetNotification）正确地接收了 PasswordBroker 生成的 $token，并将其嵌入到邮件中的密码设置链接里。链接的格式应与Fortify或Laravel默认的密码重置路由期望的格式一致（通常是 /reset-password/{token}?email={email}）。

2. config/auth.php 配置： 检查你的 config/auth.php 文件，确保 passwords 数组下的 users 配置正确，特别是 table 键，它指定了存储密码重置令牌的数据库表（默认为 password_resets）。

3. Fortify 路由： 确认 Fortify 的密码重置相关路由已启用并可访问。通常在 AuthServiceProvider 中调用 Fortify::routes() 会注册这些路由。

4. 安全性： PasswordBroker 已经处理了令牌生成和存储的安全性细节。避免自行实现令牌的哈希和存储逻辑，以免引入安全漏洞。

5. 令牌有效期： PasswordBroker 生成的令牌有默认的有效期（可在 config/auth.php 的 passwords.users.expire 中配置，默认为60分钟）。确保你的业务流程考虑了令牌过期的情况。

总结

在Laravel Fortify中实现自定义的密码创建或重置流程时，生成有效令牌的关键在于使用 Illuminate\Auth\Passwords\PasswordBroker 服务。通过调用 createToken($user) 方法，你可以确保生成的令牌符合Laravel的内部机制，从而让用户能够顺利地设置或重置他们的密码。遵循本文的指导和最佳实践，将有助于构建一个安全、健壮且用户体验良好的密码管理系统。

理论要掌握，实操不能落！以上关于《LaravelFortify自定义密码令牌方法》的详细介绍，大家都掌握了吧！如果想要继续提升自己的能力，那么就来关注golang学习网公众号吧！