دليل شامل لـ OAuth 2.0 و JWT

<?php // الخطوة 1: إعادة توجيه المستخدم إلى نقطة نهاية الترخيص Route::get('/auth/authorize', function () { $query = http_build_query([ 'client_id' => config('oauth.client_id'), 'redirect_uri' => route('auth.callback'), 'response_type' => 'code', 'scope' => 'read write', 'state' => Str::random(40), // حماية CSRF ]); return redirect('https://auth-server.com/oauth/authorize?' . $query); }); // الخطوة 2: معالجة الاستدعاء مع رمز الترخيص Route::get('/auth/callback', function (Request $request) { // التحقق من الحالة لمنع CSRF if ($request->state !== session('oauth_state')) { abort(403, 'حالة غير صالحة'); } // تبادل رمز الترخيص برمز الوصول $response = Http::asForm()->post('https://auth-server.com/oauth/token', [ 'grant_type' => 'authorization_code', 'client_id' => config('oauth.client_id'), 'client_secret' => config('oauth.client_secret'), 'redirect_uri' => route('auth.callback'), 'code' => $request->code, ]); $tokens = $response->json(); // تخزين الرموز بشكل آمن auth()->user()->update([ 'access_token' => encrypt($tokens['access_token']), 'refresh_token' => encrypt($tokens['refresh_token']), 'expires_at' => now()->addSeconds($tokens['expires_in']) ]); return redirect('/dashboard'); }); // الخطوة 3: استخدام رمز الوصول لإجراء طلبات API Route::get('/api/data', function () { $accessToken = decrypt(auth()->user()->access_token); $response = Http::withToken($accessToken) ->get('https://api.example.com/data'); return $response->json(); });

<?php // طلب رمز الوصول باستخدام بيانات اعتماد العميل $response = Http::asForm()->post('https://auth-server.com/oauth/token', [ 'grant_type' => 'client_credentials', 'client_id' => config('oauth.client_id'), 'client_secret' => config('oauth.client_secret'), 'scope' => 'api.read api.write' ]); $accessToken = $response->json('access_token'); // استخدام الرمز لطلبات API $apiResponse = Http::withToken($accessToken) ->get('https://api.example.com/resources'); // مثال Laravel Passport use Laravel\Passport\Client; Route::post('/oauth/token', function (Request $request) { $client = Client::where('id', $request->client_id) ->where('secret', $request->client_secret) ->firstOrFail(); // التحقق من بيانات اعتماد العميل وإصدار الرمز $token = $client->createToken('API Access', [ 'api.read', 'api.write' ])->accessToken; return response()->json([ 'access_token' => $token, 'token_type' => 'Bearer', 'expires_in' => 3600 ]); });

<?php // ⚠️ استخدم فقط لعملاء الطرف الأول الموثوق بهم $response = Http::asForm()->post('https://auth-server.com/oauth/token', [ 'grant_type' => 'password', 'client_id' => config('oauth.client_id'), 'client_secret' => config('oauth.client_secret'), 'username' => $request->email, 'password' => $request->password, 'scope' => '*' ]); $tokens = $response->json();

<?php // توليد مُحقق الكود والتحدي function generatePKCE(): array { $verifier = Str::random(128); $challenge = rtrim(strtr(base64_encode(hash('sha256', $verifier, true)), '+/', '-_'), '='); return [ 'verifier' => $verifier, 'challenge' => $challenge ]; } // الخطوة 1: طلب الترخيص مع PKCE Route::get('/auth/login', function () { $pkce = generatePKCE(); session(['code_verifier' => $pkce['verifier']]); $query = http_build_query([ 'client_id' => config('oauth.client_id'), 'redirect_uri' => route('auth.callback'), 'response_type' => 'code', 'scope' => 'read write', 'code_challenge' => $pkce['challenge'], 'code_challenge_method' => 'S256' ]); return redirect('https://auth-server.com/oauth/authorize?' . $query); }); // الخطوة 2: طلب الرمز مع مُحقق الكود Route::get('/auth/callback', function (Request $request) { $response = Http::asForm()->post('https://auth-server.com/oauth/token', [ 'grant_type' => 'authorization_code', 'client_id' => config('oauth.client_id'), // لا حاجة لـ client_secret مع PKCE! 'redirect_uri' => route('auth.callback'), 'code' => $request->code, 'code_verifier' => session('code_verifier') ]); return $response->json(); });

// مثال JWT eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c // فك الترميز: // الرأس { "alg": "HS256", // الخوارزمية: HMAC SHA-256 "typ": "JWT" // نوع الرمز } // الحمولة (المطالبات) { "sub": "1234567890", // الموضوع (معرف المستخدم) "name": "John Doe", // مطالبة مخصصة "iat": 1516239022, // صدر في "exp": 1516242622, // وقت انتهاء الصلاحية "aud": "https://api.example.com", // الجمهور "iss": "https://auth.example.com" // المُصدر } // التوقيع HMACSHA256( base64UrlEncode(header) + "." + base64UrlEncode(payload), secret )

<?php use Firebase\JWT\JWT; use Firebase\JWT\Key; // إنشاء JWT function createJWT(User $user): string { $payload = [ 'iss' => config('app.url'), // المُصدر 'sub' => $user->id, // الموضوع (معرف المستخدم) 'iat' => time(), // صدر في 'exp' => time() + (60 * 60), // ينتهي خلال ساعة واحدة 'nbf' => time(), // ليس قبل 'jti' => Str::uuid()->toString(), // معرف JWT (معرف فريد) // مطالبات مخصصة 'email' => $user->email, 'role' => $user->role, 'scopes' => ['read', 'write'] ]; return JWT::encode($payload, config('jwt.secret'), 'HS256'); } // التحقق وفك ترميز JWT function verifyJWT(string $token): object { try { $decoded = JWT::decode( $token, new Key(config('jwt.secret'), 'HS256') ); // التحقق الإضافي if ($decoded->exp < time()) { throw new Exception('انتهت صلاحية الرمز'); } if ($decoded->iss !== config('app.url')) { throw new Exception('مُصدر غير صالح'); } return $decoded; } catch (Exception $e) { throw new AuthenticationException('رمز غير صالح: ' . $e->getMessage()); } } // وسيطة للتحقق من JWT class JwtAuthentication { public function handle(Request $request, Closure $next) { $token = $request->bearerToken(); if (!$token) { return response()->json([ 'errors' => [[ 'status' => '401', 'title' => 'غير مصرح', 'detail' => 'لم يتم تقديم رمز' ]] ], 401); } try { $decoded = verifyJWT($token); // إرفاق المستخدم بالطلب $request->merge(['authenticated_user' => User::find($decoded->sub)]); return $next($request); } catch (AuthenticationException $e) { return response()->json([ 'errors' => [[ 'status' => '401', 'title' => 'غير مصرح', 'detail' => $e->getMessage() ]] ], 401); } } }

<?php // توليد زوج الرموز public function login(Request $request) { $credentials = $request->only('email', 'password'); if (!auth()->attempt($credentials)) { return response()->json([ 'errors' => [[ 'status' => '401', 'title' => 'فشلت المصادقة', 'detail' => 'بيانات اعتماد غير صالحة' ]] ], 401); } $user = auth()->user(); // إنشاء رمز الوصول (قصير الأجل: 15 دقيقة) $accessToken = createJWT($user); // إنشاء رمز التحديث (طويل الأجل: 30 يوماً) $refreshToken = Str::random(64); $user->refreshTokens()->create([ 'token' => hash('sha256', $refreshToken), 'expires_at' => now()->addDays(30) ]); return response()->json([ 'access_token' => $accessToken, 'refresh_token' => $refreshToken, 'token_type' => 'Bearer', 'expires_in' => 900 // 15 دقيقة ]); } // تحديث رمز الوصول public function refresh(Request $request) { $refreshToken = $request->input('refresh_token'); if (!$refreshToken) { return response()->json([ 'errors' => [[ 'status' => '400', 'title' => 'طلب سيء', 'detail' => 'رمز التحديث مطلوب' ]] ], 400); } // ابحث عن الرمز في قاعدة البيانات $tokenRecord = RefreshToken::where('token', hash('sha256', $refreshToken)) ->where('expires_at', '>', now()) ->where('revoked', false) ->first(); if (!$tokenRecord) { return response()->json([ 'errors' => [[ 'status' => '401', 'title' => 'غير مصرح', 'detail' => 'رمز تحديث غير صالح أو منتهي الصلاحية' ]] ], 401); } $user = $tokenRecord->user; // إصدار رمز وصول جديد $newAccessToken = createJWT($user); // اختياري: تنفيذ دوران الرمز // إلغاء رمز التحديث القديم وإصدار واحد جديد $tokenRecord->update(['revoked' => true]); $newRefreshToken = Str::random(64); $user->refreshTokens()->create([ 'token' => hash('sha256', $newRefreshToken), 'expires_at' => now()->addDays(30) ]); return response()->json([ 'access_token' => $newAccessToken, 'refresh_token' => $newRefreshToken, 'token_type' => 'Bearer', 'expires_in' => 900 ]); }

<?php // ترحيل رموز التحديث Schema::create('refresh_tokens', function (Blueprint $table) { $table->id(); $table->foreignId('user_id')->constrained()->onDelete('cascade'); $table->string('token', 64)->unique(); $table->string('family', 36); // تتبع عائلة الرمز لاكتشاف إعادة الاستخدام $table->boolean('revoked')->default(false); $table->timestamp('expires_at'); $table->timestamp('used_at')->nullable(); $table->timestamps(); $table->index(['user_id', 'family']); }); // تنفيذ التحديث مع الدوران والكشف عن إعادة الاستخدام public function refresh(Request $request) { $refreshToken = $request->input('refresh_token'); $hashedToken = hash('sha256', $refreshToken); $tokenRecord = RefreshToken::where('token', $hashedToken) ->where('expires_at', '>', now()) ->first(); if (!$tokenRecord) { return response()->json(['errors' => [[ 'status' => '401', 'detail' => 'رمز تحديث غير صالح' ]]], 401); } // الكشف عن إعادة الاستخدام: إذا تم استخدام الرمز بالفعل، ألغِ العائلة بأكملها if ($tokenRecord->used_at !== null) { RefreshToken::where('family', $tokenRecord->family) ->update(['revoked' => true]); return response()->json(['errors' => [[ 'status' => '401', 'detail' => 'تم اكتشاف إعادة استخدام الرمز. تم إلغاء جميع الرموز.' ]]], 401); } $user = $tokenRecord->user; // وضع علامة على الرمز الحالي كمستخدم $tokenRecord->update(['used_at' => now()]); // إصدار رموز جديدة في نفس العائلة $newAccessToken = createJWT($user); $newRefreshToken = Str::random(64); $user->refreshTokens()->create([ 'token' => hash('sha256', $newRefreshToken), 'family' => $tokenRecord->family, 'expires_at' => now()->addDays(30) ]); return response()->json([ 'access_token' => $newAccessToken, 'refresh_token' => $newRefreshToken, 'token_type' => 'Bearer', 'expires_in' => 900 ]); }