Laravel 测试中间件中的 URL 参数 BEFORE 组中间件
Posted
技术标签:
【中文标题】Laravel 测试中间件中的 URL 参数 BEFORE 组中间件【英文标题】:Laravel test for URL param in middleware BEFORE group Middleware 【发布时间】:2021-11-14 13:48:26 【问题描述】:我正在使用中间件来检查是否存在来自另一个站点的登录令牌。如果存在登录令牌并且用户尚未登录,我想使用该令牌登录用户并将他们发送到他们想要的页面。如果他们已经登录,我希望它什么也不做。
按照建议,这应该是 ServiceProvider 吗?
这是我的中间件:
<?php
namespace App\Http\Middleware;
use Session;
use Closure;
use Illuminate\Http\Request;
use Illuminate\Support\Facades\Auth;
use App\Http\Controllers\Auth\LoginController;
class CheckRepLoginToken
/**
* Handle an incoming request.
*
* @param \Illuminate\Http\Request $request
* @param \Closure $next
* @return mixed
*/
public function handle(Request $request, Closure $next)
$loginToken = $request->repLoginToken;
$goto = '/'.$request->path();
if(isset($loginToken) && Auth::guest())
(new LoginController)->login($loginToken,$goto);
return $next($request);
问题是我需要在 $middlewareGroups 和 $routeMiddleware 之前运行它,因此如果 Auth::guest() 为真但令牌存在,则用户不会被发送到登录屏幕。
我目前在Kernel 的protected $middleware 部分有中间件,无论是否登录,每个人似乎都是“客人”。
这是内核文件:
<?php
namespace App\Http;
use Illuminate\Foundation\Http\Kernel as HttpKernel;
class Kernel extends HttpKernel
/**
* The application's global HTTP middleware stack.
*
* These middleware are run during every request to your application.
*
* @var array
*/
protected $middleware = [
// \App\Http\Middleware\TrustHosts::class,
\App\Http\Middleware\TrustProxies::class,
\Fruitcake\Cors\HandleCors::class,
\App\Http\Middleware\PreventRequestsDuringMaintenance::class,
\Illuminate\Foundation\Http\Middleware\ValidatePostSize::class,
\App\Http\Middleware\TrimStrings::class,
\Illuminate\Foundation\Http\Middleware\ConvertEmptyStringsToNull::class,
\App\Http\Middleware\CheckRepLoginToken::class,
// 'checkStatus' => \App\Http\Middleware\CheckStatus::class,
];
/**
* The application's route middleware groups.
*
* @var array
*/
protected $middlewareGroups = [
'web' => [
\App\Http\Middleware\EncryptCookies::class,
\Illuminate\Cookie\Middleware\AddQueuedCookiesToResponse::class,
\Illuminate\Session\Middleware\StartSession::class,
// \Illuminate\Session\Middleware\AuthenticateSession::class,
\Illuminate\View\Middleware\ShareErrorsFromSession::class,
\App\Http\Middleware\VerifyCsrfToken::class,
\Illuminate\Routing\Middleware\SubstituteBindings::class,
],
'api' => [
// \Laravel\Sanctum\Http\Middleware\EnsureFrontendRequestsAreStateful::class,
'throttle:api',
\Illuminate\Routing\Middleware\SubstituteBindings::class,
],
];
/**
* The application's route middleware.
*
* These middleware may be assigned to groups or used individually.
*
* @var array
*/
protected $routeMiddleware = [
'auth' => \App\Http\Middleware\Authenticate::class,
'auth.basic' => \Illuminate\Auth\Middleware\AuthenticateWithBasicAuth::class,
'cache.headers' => \Illuminate\Http\Middleware\SetCacheHeaders::class,
'can' => \Illuminate\Auth\Middleware\Authorize::class,
'guest' => \App\Http\Middleware\RedirectIfAuthenticated::class,
'password.confirm' => \Illuminate\Auth\Middleware\RequirePassword::class,
'signed' => \Illuminate\Routing\Middleware\ValidateSignature::class,
'throttle' => \Illuminate\Routing\Middleware\ThrottleRequests::class,
'verified' => \Illuminate\Auth\Middleware\EnsureEmailIsVerified::class,
];
如何在不影响当前身份验证的情况下达到我想要的结果?
【问题讨论】:
【参考方案1】:起初,中间件似乎是一次性登录令牌功能的正确工具,但如果不了解 Laravel 的请求管道,实现起来可能会很棘手。在这个答案的最后,我们将看看一个使用自定义身份验证功能的简单替代方案。
对于来自浏览器的传统 Web 请求,Laravel 的身份验证服务依赖于由 cookie 标识的会话的存在。问题的CheckRepLoginToken 中间件在Kernel.php 的全局中间件数组中声明,这些处理程序在路由中间件之前执行,其中包括'web' 组中的StartSession 中间件。
由于StartSession 中间件为请求初始化会话状态,全局CheckRepLoginToken 中间件的身份验证上下文尚不可用。对于问题中显示的配置,从全局中间件调用 Auth::guest() 将始终返回 true。我不确定LoginController::login() 方法在您的特定项目中做了什么,但我想当标准会话和身份验证中间件随后运行时,通过尝试从全局中间件调用该方法设置的身份验证状态可能会消失。
根据您的LoginController::login() 方法的作用,将CheckRepLoginToken 中间件的声明移到StartSession 下'web' 组中可能就足够了。顺便说一句,有些人可能认为实例化控制器直接调用方法是不好的做法。我们无需太多代码就可以实现类似的结果:
public function handle(Request $request, Closure $next)
if ($request->has('repLoginToken') && Auth::guest())
$user = // ...try to fetch a user with $request->repLoginToken...
if ($user !== null)
Auth::login($user);
return $next($request);
更完整的解决方案利用 Laravel 的可插拔身份验证系统。我们可以使用处理令牌的自定义实现来包装 Laravel 的标准身份验证保护。
首先,我们将更新 config/auth.php 以切换默认的 'web' 防护以使用我们将在下面实现的自定义驱动程序。我们将原来的'web' 守卫重命名为'session',以便我们以后参考。
'guards' => [
'web' => [
'driver' => 'rep-token',
],
'session' => [
'driver' => 'session',
'provider' => 'users',
]
],
Laravel 的 AuthManager 包含一个帮助方法 —viaRequest() — 它简化了 Guard 的创建,该方法使用来自请求上下文的数据对用户进行身份验证,而无需完全实现 Illuminate\Contracts\Auth\Guard。我们在 AuthServiceProvider.php 的 boot() 方法中绑定我们的自定义守卫:
public function boot()
Auth::viaRequest('rep-token', function ($request)
$baseGuard = Auth::guard('session');
if ($request->has('repLoginToken') && $baseGuard->guest())
$user = // ...try to fetch a user with $request->repLoginToken...
if ($user !== null)
$baseGuard->login($user);
return $baseGuard->user();
);
正如我们所见,这个包装器重用了 Laravel 标准的基于会话的身份验证的功能,并处理了 repLoginToken 存在的特殊情况。它不需要任何额外的中间件。
由于这篇文章是公开的,我觉得有义务强调Mtxz's answer的一点。在设计和实施第三方认证方案时要格外小心。一般来说,任何获得有效令牌的人(包括第三方)都可以完全访问用户的帐户。此问题中描述的身份验证流程的简单性表明存在许多应用程序可能无法接受的漏洞。
【讨论】:
【参考方案2】:尝试命名您的路线并在此处执行以下操作:
Route::get('/login/loginToken', 'LoginController@login')->name('login.route');
if (isset($loginToken) && Auth::guest())
return redirect()->route('login.route', [
'token' => $loginToken
])
【讨论】:
由于站点的任何路由/页面都可能有 loginToken,我认为中间件会更好地捕捉它。我不确定这个建议将如何解决我的问题? 我知道用户没有被转发到登录屏幕。那是因为你直接调用了控制器。 否则可以通过ServiceProvider解决。 现在用户正在进入登录表单。如果他们有令牌,我不希望他们发送到登录表单,然后我希望他们的登录过程“在幕后”并允许他们转到他们想要的页面。我试图用中间件来解决,但我会看看 ServiceProvider 是否是更好的方法,谢谢你的想法。【参考方案3】:其实,Laravel 要知道用户是否登录,请求需要通过 auth 中间件。因此,您的自定义中间件需要在身份验证之后触发。
因此,如果您的中间件需要知道用户是否登录,则必须首先传递 auth 中间件(这也意味着它仅适用于 auth 中间件下的路由或路由组 - 正如我所看到的 auth中间件不在您的默认应用中间件堆栈中)。
如果 auth 中间件重定向用户,那么永远不会调用你的。
覆盖 Auth 中间件
由于您的业务与“身份验证相关”,您可以轻松覆盖您正在使用的身份验证中间件。复制或扩展vendor类,将内核中的auth中间件类替换为你的,在默认中间件业务标识后添加你的自定义业务,或者用户未登录。
我想你也可以通过创建自定义身份验证 Guard 并使用它来代替默认的,但我认为自定义身份验证中间件更快。
我对您的自定义身份验证业务了解不多,但请注意 URL 中用于验证用户身份的令牌(可以通过邮件发送或保存在其他地方):这些令牌应该在延迟和使用后过期。另外,你应该防止这个参数的暴力破解。
【讨论】:
以上是关于Laravel 测试中间件中的 URL 参数 BEFORE 组中间件的主要内容,如果未能解决你的问题,请参考以下文章
如何重定向到Laravel 5.6中的以前的URL并打算使用