3分钟短文 | Laravel 用户授权原来内置了这么多方法

2020-08-27 16:05:57 浏览数 (1)

引言

laravel已经内置了一套授权和权限分配的功能,我们不用从零开始设计,这方便了很多。但是, 因为集成在框架内的缘故,很多时候对于用户体系甚至有些陌生。本文通过一个简单的需求,判断有效用户, 逐一为大家实现。

学习时间

比如在前端有一个界面,表单的提交参数如下:

代码语言:javascript复制
<form class="form-horizontal" role="form" method="POST" action="{{ url('/auth/login') }}">

其中路由 /auth/login 是框架内集成的方法。如果有效的数据则进行验证登陆,如果无效则执行错误逻辑。那么问题来了,能否手动实现这些逻辑呢。或者说,为了防止无效的暴力请求,在表单开始之初, 能否直接过滤掉一些垃圾请求,过滤掉根本不存在的用户,或者被禁止的用户呢?

我们需要在 LoginController 内重写 login 方法。该方法接收一个请求体:

代码语言:javascript复制
public function login(IlluminateHttpRequest $request) {}

验证请求参数是否有效:

代码语言:javascript复制
$this->validateLogin($request);

如果用户请求频次超限被锁定,则直接返回:

代码语言:javascript复制
if ($this->hasTooManyLoginAttempts($request)) {
    $this->fireLockoutEvent($request);
    return $this->sendLockoutResponse($request);
}

请求参数正常,接着验证用户的账号密码是否正确:

代码语言:javascript复制
$ok = $this->guard()->validate($this->credentials($request));

如果账号密码错误,则增加请求计数频次:

代码语言:javascript复制
$this->incrementLoginAttempts($request);

抛出一个登陆错误的提示页面:

代码语言:javascript复制
return $this->sendFailedLoginResponse($request);

如果用户账号密码正确,也就是登陆成功了。首先获取用户模型:

代码语言:javascript复制
$user = $this->guard()->getLastAttempted();

接着就是我们需求中所说的业务逻辑,可以过滤用户是否active。使用判断:

代码语言:javascript复制
$is_active = $user->active && $this->attemptLogin($request);

如果逻辑通过,则将页面导航到成功后页面:

代码语言:javascript复制
return $this->sendLoginResponse($request);

如果不通过,大概率这用户是无效非法的,累加其登陆频次计数:

代码语言:javascript复制
$this->incrementLoginAttempts($request);

并给出错误提示,比较自由,可附加提示信息:

代码语言:javascript复制
return redirect()->back()->withInput($request->only($this->username(), 'remember'))->withErrors(['active' => 'You must be active to login.']);

至此,登陆筛选的逻辑就完成了。

简化版

如果像上一节那样大改login方法你觉得有些困难,那我们可以来一个简化版, 在登陆验证阶段,直接验证用户,并给出错误提示。

我们知道控制器继承了 Validator,可以直接使用 validate 方法手动构建验证规则:

考虑以下代码:

代码语言:javascript复制
protected function validateLogin(Request $request)
{
    $this->validate($request, [
        $this->username() => 'exists:users,' . $this->username() . ',active,1',
        'password' => 'required|string',
    ]);
}

我们在控制器内调用该方法进行过滤验证即可。

写在最后

本文通过一步步实现用户登录验证流程的方式,将自定义的逻辑嵌入到登录处理流程内, 这是一种魔改。当然在请求阶段,在应用逻辑处理到响应体之前,你都有机会干预此次请求。laravel毕竟太灵活了。

Happy coding :-)

0 人点赞