Laravel Türkiye Discord Kanalı Forumda kod paylaşılırken dikkat edilmesi gerekenler!Birlikte proje geliştirmek ister misiniz?

Laravel Sanctum multiple guard/middleware

muhammetakkus

Selamlar..
Vuejs ve Laravel ile bir SPA projesine başladım Sanctum ile user authentication işlemi yaptım bir de admin paneli için authentication yapmak istiyorum fakat iki taraf login olmadan birbirine erişememeli tabiiki.

user ile ilgili routelar burada tamam fakat aynısını admin içinde yapmak istiyorum.

// routes/api.php
Route::group(['middleware' => ['auth:sanctum']], function() {
  //
});

laravelde normalde custom guard oluşturararak bu tarz işlemleri yapıyordum fakat sanctum'un auth:sanctum kısmını admin için kolay bir şekilde halledemedim. yine custom admin guard oluşturdum.
bu alttaki gibi kullanmak için ne yapmalıyım.

Route::group(['middleware' => ['admin:sanctum']], function() {
  //
});

şunları denedim

// config/auth.php
    'guards' => [
        'web' => [
            'driver' => 'session',
            'provider' => 'users',
        ],
        'admin' => [
           'driver' => 'session', // sanctum yapınca server:8000 bağlantısını kesiyor
           'provider' => 'admin',
       ],
    ],

açıklamada yazdığım gibi neden bilmiyorum driver'ı sanctum yapınca bir request gönderdiğim zaman php artisan server:8000 bağlantısını kesiyor :8001 olarak başlatıyor orada açıp request yapınca 8002 diye kesmeye devam ediyor.

  // config/sanctum.php - burayada web'in yanına admin geçtim fakat istediğim netice olmuyor şuanlık
  'guard' => ['web', 'admin'],

şuan admin veya user kim giriş yaparsa yapsın token olduğu için requestlere ulaşılıyor yani middleware yok.
Yardımlarınızı bekliyorum teşekkürler..

PHP 8.1
LARAVEL 9
UBUNTU 21.10

mgsmus

muhammetakkus admin:sanctum şeklinde değil auth:admin şeklinde guard kullanıyorsunuz. driver session olarak kalacak. Eğer stateless erişim olacaksa driver olarak token kullanacaksınız. Ayrıca SANCTUM_STATEFUL_DOMAINS değerini doğru girmeyi unutmayın.

Şurada multi guard konusunu anlattım:
https://laravel.gen.tr/d/4959-laravel-8-multi-auth-jetstream

Bana sorarsanız tüm kullanıcıları users tablosunda tutun ve role yetki sistemi kullanarak kullanıcıları ayırın. Ayrı guard, ayrı model vs bunlar olayı karıştırmaktan başka bir işe yaramıyor.

muhammetakkus

Route::group(['middleware' => ['auth:admin']], function() {
Route::post('/test', [AdminController::class, 'test']);
});

401 (Unauthorized)
message: "Unauthenticated."

bu şekilde dönüş alıyorum.

sizin dediğiniz şekilde normal multi guard kullanıyordum fakat burada bu şekilde çalışır mı?
Son durumda Admin giriş yapınca token olduğu için User giriş yapmadığı halde onun requestlerine erişebiliyor. Admin giriş yapınca yukarıdaki örnekte 401 dönmesinin sebebi de attemp ile giriş yapmadığımız için olabilir mi yani giriş yapan kod şöyle

  public function login(Request $request) {
    $fields = $request->validate([
      'username' => 'required|string',
      'password' => 'required|string',
    ]);

    $admin = Admin::where('username', $fields['username'])->first();

    if (!$admin || !Hash::check($fields['password'], $admin['password'])) {
      return response([
        'error' => 'Kullanıcı Adı veya Şifre Hatalı'
      ]);
    }

    $token = $admin->createToken($request['username'])->plainTextToken;

    $response = [
      'admin' => $admin,
      'admin_token' => $token
    ];

    return response($response, 201);
  }

bu kod session based olan guard'ı görür mü?

dediğiniz kısımda da role ile hareket etsek her controller'da methodlarda rol'ü kontrol etmem gerekmez mi?
yani burada user için bir middleware ve admin için bir middleware bütün rotaları kapsüllüyor iki taraf kökten birbirine ulaşamıyor ayrılıyor diye düşünerek hareket ettim daha önce de hep. Logic olarakta adminin rolleri kendi arasında user'ın rolleri kendi arasında çeşitlenebilir

mgsmus

muhammetakkus Auth::attempt yerine token oluşturduğunuza göre Authorization: Bearer <token> şeklinde Bearer ile istek atacaksınız demektir çünkü bir cookie oluşmuyor. Cookie oluştuğu zaman session auth çalışır, hem cookieye hem de tokena bakar. Sadece token ile geleceğiniz rotaların guard driver değeri token olmalı.

config/auth.php tamamını görmediğim için provider kısımlarını da yaptığınızı varsayıyorum. provider admin dediğinize göre providers içinde de Admin modelini belirtmiş olmalısınız.

Rol sistemi kullandığınızda

Route::prefix('admin')->as('admin.')->middleware(['auth:sanctum','role:admin'])->group(function() {
    //...
});

şeklinde koruyacaksınız. Eğer admin kendi içerisinde rollere ayrılıyorsa ya manager, editor gibi alt roller tanımlayacaksınız ya da admin rolü altında permission oluşturup adminleri permission kullanarak ayrıştıracaksınız.

Eğer spatie/laravel-permission gibi bir paket kullanırsanız role:admin,guard_adi şeklinde guard ismi de vermeniz lazım.

muhammetakkus

mounted(){
        if (this.admin_token) {
          window.axios.defaults.headers.common['Authorization'] = `Bearer ${this.admin_token}`
        }
        if (this.token) {
          window.axios.defaults.headers.common['Authorization'] = `Bearer ${this.token}`
        }
      }

vuejs'de bu şekilde token'ı axios'a tanımlıyorum. ayrıca dediğiniz gibi config/auth kısmında provider olması gerektiği gibi modeli tanımlı.

şuan anladığım kadarıyla token varsa bütün requestlere erişim sağlanıyor çünkü middleware'i ayıramadım. admin middleware'inin çalışmamasının sebebi de muhtemelen oturum açılmıyor sanctum ayrı çalışıyor. config/auth.php kısmındaki admin guard'ı kullanmıyor. biraz daha uğraşacağım olmazsa dediğiniz gibi rolleri ayırırım.
Burada siz role mantığınıda middleware gibi göstermişsiniz yani benim dediğim gibi controllerda sürekli her rota için role kontrolü yapmaya gerek yok sanırım ? (daha önce laravelde role kullanmadım)

mgsmus

muhammetakkus Guard çalışması lazım ama test etmeden nerede hata yaptığınızı bulmam zor. Müsait bir zamanda belki bir tane kurar denerim.

Her rotaya ayrı ayrı middleware tanımlamanıza gerek yok. Size verdiğim örnek zaten group. İçindeki tüm rotalar group özelliklerini kullanır:

// Admin rotaları
Route::middleware(['auth:sanctum','role:admin'])->as('admin.')->group(function() {
    Route::apiResource('users', UserController::class);
    Route::apiResource('companies', CompanyController::class);
    Route::apiResource('products', ProductController::class);
    // ve geri kalan tüm rotalar auth:sanctum ve role:admin middewareler kapsamında...
    // ...
});

// Normal kullanıcı rotaları
Route::middleware(['auth:sanctum','role:customer'])->as('customer.')->group(function() {
     Route::apiResource('orders', OrderController::class);
     Route::apiResource('profile', ProfileController::class)->only(['show', 'update']);
    // ...
});

// Hem admin hem de customer'ın görebildiği rotalar
Route::middleware(['auth:sanctum','role:admin|customer'])->group(function() {
    // ...
});

muhammetakkus

Her rotaya değilde controllerda middleware veya role check yapmaktan bahsetmiştim ama şimdi daha iyi anladım demek istediğinizi. Muhtemelen bugün çalıştıramazsam dediğinize geçiş yapacağım.

@mgsmus vakit ayırdığınız için teşekkür ederim hocam iyi çalışmalar diliyorum.

muhammetakkus

Başkasının ihtiyacı olursa diye paylaşmak istiyorum sadece bir Admin middleware'ı oluşturarak çözdüm. Sistem yine aynı şekilde ayrı ayrı Model de çalışıyor ve sanctum kullanıyor sadece her iki tabloyada role column açıp default olarak birisine user birisine admin olarak kaydettim. çözümü ise şu şekilde yaptım

php artisan make:middleware Admin

   // ekle -> use Illuminate\Support\Facades\Auth;

   // ve handle method'unu şu şekilde düzenledim
    public function handle(Request $request, Closure $next)
    {
        if (Auth::check() && Auth::user()->role == 'admin') {
          return $next($request);
        }
    }

daha sonra bunu Kernal'a kaydetmek gerekiyor tabi

protected $routeMiddleware = [
        ..
        'admin' => \App\Http\Middleware\Admin::class,
        ..
    ];

rotayıda dediğinize benzer olarak şu şekilde kullandım

Route::prefix('admin')->as('admin.')->middleware(['auth:sanctum','admin'])->group(function() {
  // admin rotalar
});

bu durumda admin olarak giriş yapmayanlar admin rotalarına erişemiyor. admin user rotalarına erişebiliyor eğer admin de user rotalarına erişmesin istenirse bir tane de user middleware'i oluşurulup aynı şekilde user rolü kontrol edilebilir..