php - Laravel 测试中间件中的 URL 参数 BEFORE 组中间件
问题描述
我正在使用中间件来检查是否存在来自另一个站点的登录令牌。如果存在登录令牌并且用户尚未登录,我想使用该令牌登录用户并将他们发送到他们想要的页面。如果他们已经登录,我希望它什么都不做。
正如建议的那样,这应该是一个ServiceProvider
吗?
这是我的中间件:
<?php
namespace App\Http\Middleware;
use Session;
use Closure;
use Illuminate\Http\Request;
use Illuminate\Support\Facades\Auth;
use App\Http\Controllers\Auth\LoginController;
class CheckRepLoginToken
{
/**
* Handle an incoming request.
*
* @param \Illuminate\Http\Request $request
* @param \Closure $next
* @return mixed
*/
public function handle(Request $request, Closure $next){
$loginToken = $request->repLoginToken;
$goto = '/'.$request->path();
if(isset($loginToken) && Auth::guest()){
(new LoginController)->login($loginToken,$goto);
}
return $next($request);
}
}
问题是我需要在 之前全部运行$middlewareGroups
,因此如果为真但存在令牌,则$routeMiddleware
用户不会被发送到登录屏幕。Auth::guest()
我目前在 的protected $middleware
部分中有中间件,Kernel
无论他们是否登录,每个人似乎都是“客人”。
这是内核文件:
<?php
namespace App\Http;
use Illuminate\Foundation\Http\Kernel as HttpKernel;
class Kernel extends HttpKernel
{
/**
* The application's global HTTP middleware stack.
*
* These middleware are run during every request to your application.
*
* @var array
*/
protected $middleware = [
// \App\Http\Middleware\TrustHosts::class,
\App\Http\Middleware\TrustProxies::class,
\Fruitcake\Cors\HandleCors::class,
\App\Http\Middleware\PreventRequestsDuringMaintenance::class,
\Illuminate\Foundation\Http\Middleware\ValidatePostSize::class,
\App\Http\Middleware\TrimStrings::class,
\Illuminate\Foundation\Http\Middleware\ConvertEmptyStringsToNull::class,
\App\Http\Middleware\CheckRepLoginToken::class,
// 'checkStatus' => \App\Http\Middleware\CheckStatus::class,
];
/**
* The application's route middleware groups.
*
* @var array
*/
protected $middlewareGroups = [
'web' => [
\App\Http\Middleware\EncryptCookies::class,
\Illuminate\Cookie\Middleware\AddQueuedCookiesToResponse::class,
\Illuminate\Session\Middleware\StartSession::class,
// \Illuminate\Session\Middleware\AuthenticateSession::class,
\Illuminate\View\Middleware\ShareErrorsFromSession::class,
\App\Http\Middleware\VerifyCsrfToken::class,
\Illuminate\Routing\Middleware\SubstituteBindings::class,
],
'api' => [
// \Laravel\Sanctum\Http\Middleware\EnsureFrontendRequestsAreStateful::class,
'throttle:api',
\Illuminate\Routing\Middleware\SubstituteBindings::class,
],
];
/**
* The application's route middleware.
*
* These middleware may be assigned to groups or used individually.
*
* @var array
*/
protected $routeMiddleware = [
'auth' => \App\Http\Middleware\Authenticate::class,
'auth.basic' => \Illuminate\Auth\Middleware\AuthenticateWithBasicAuth::class,
'cache.headers' => \Illuminate\Http\Middleware\SetCacheHeaders::class,
'can' => \Illuminate\Auth\Middleware\Authorize::class,
'guest' => \App\Http\Middleware\RedirectIfAuthenticated::class,
'password.confirm' => \Illuminate\Auth\Middleware\RequirePassword::class,
'signed' => \Illuminate\Routing\Middleware\ValidateSignature::class,
'throttle' => \Illuminate\Routing\Middleware\ThrottleRequests::class,
'verified' => \Illuminate\Auth\Middleware\EnsureEmailIsVerified::class,
];
}
如何在不弄乱当前身份验证的情况下达到我想要的结果?
解决方案
起初,中间件似乎是一次性登录令牌功能的正确工具,但如果不了解 Laravel 的请求管道,实现起来可能会很棘手。在这个答案的最后,我们将看看一个使用自定义身份验证功能的简单替代方案。
对于来自浏览器的传统 Web 请求,Laravel 的身份验证服务依赖于由 cookie 标识的会话的存在。问题的CheckRepLoginToken
中间件在Kernel.php的全局中间件数组中声明,这些处理程序在路由中间件之前执行,其中包括组StartSession
中的中间件'web'
。
由于StartSession
中间件为请求初始化会话状态,因此全局CheckRepLoginToken
中间件的身份验证上下文尚不可用。Auth::guest()
从全局中间件调用将始终返回true
问题中显示的配置。我不确定该LoginController::login()
方法在您的特定项目中做了什么,但我想当标准会话和身份验证中间件随后运行时,通过尝试从全局中间件调用该方法设置的身份验证状态可能会消失。
根据您的方法的作用,将中间件LoginController::login()
的声明移到组中的下方可能就足够了。顺便说一句,有些人可能认为实例化控制器直接调用方法是不好的做法。我们可以在没有太多代码的情况下实现类似的结果:CheckRepLoginToken
StartSession
'web'
public function handle(Request $request, Closure $next)
{
if ($request->has('repLoginToken') && Auth::guest()) {
$user = // ...try to fetch a user with $request->repLoginToken...
if ($user !== null) {
Auth::login($user);
}
}
return $next($request);
}
更完整的解决方案利用 Laravel 的可插拔身份验证系统。我们可以使用处理令牌的自定义实现来包装 Laravel 的标准身份验证保护。
首先,我们将更新config/auth.php以将默认'web'
保护切换为使用我们将在下面实现的自定义驱动程序。我们将原来的'web'
守卫重命名为,'session'
以便我们以后可以引用它。
'guards' => [
'web' => [
'driver' => 'rep-token',
],
'session' => [
'driver' => 'session',
'provider' => 'users',
]
],
LaravelAuthManager
包含一个辅助方法——<a href="https://laravel.com/docs/authentication#closure-request-guards" rel="nofollow noreferrer"> ——它viaRequest()
简化了Guard
使用来自无需完全实现的请求上下文Illuminate\Contracts\Auth\Guard
。我们在AuthServiceProvider.phpboot()
的方法中绑定我们的自定义守卫:
public function boot()
{
Auth::viaRequest('rep-token', function ($request) {
$baseGuard = Auth::guard('session');
if ($request->has('repLoginToken') && $baseGuard->guest()) {
$user = // ...try to fetch a user with $request->repLoginToken...
if ($user !== null) {
$baseGuard->login($user);
}
}
return $baseGuard->user();
});
}
正如我们所看到的,这个包装器重用了 Laravel 标准的基于会话的身份验证的功能,并处理repLoginToken
. 它不需要任何额外的中间件。
由于这篇文章是公开的,我觉得有义务从Mtxz 的回答中强调一点。在设计和实施第三方认证方案时要格外小心。通常,任何获得有效令牌的人(包括第三方)都可以完全访问用户的帐户。此问题中描述的身份验证流程的简单性暗示了许多应用程序可能无法接受的漏洞。
推荐阅读
- annotations - 虽然 pycharm 出现“python 3.5 不支持变量注释”,而我的 python 版本是 3.7.6?
- r - 基于R中的部分字符串匹配查找值
- javascript - 通过jquery选择输入文本框上的复选框
- c++ - 标准库中是否存在类型级别的左折叠元函数?
- python - 使用 tkinter 切换按钮文本
- javascript - 按键从 JavaScript 对象中提取值
- php - 在 WooCommerce 帐户上格式化帐单电话号码以在代码和号码之间添加空格
- flutter - SliverList 未按预期更新
- python - tkinter 中的 Label 和 ttk.Label 有什么区别
- android - 如何通过代码更改扩展浮动操作按钮图标?