引言
laravel已经内置了一套授权和权限分配的功能,我们不用从零开始设计,这方便了很多。但是, 因为集成在框架内的缘故,很多时候对于用户体系甚至有些陌生。本文通过一个简单的需求,判断有效用户, 逐一为大家实现。
学习时间
比如在前端有一个界面,表单的提交参数如下:
代码语言:javascript复制<form class="form-horizontal" role="form" method="POST" action="{{ url('/auth/login') }}">
其中路由 /auth/login 是框架内集成的方法。如果有效的数据则进行验证登陆,如果无效则执行错误逻辑。那么问题来了,能否手动实现这些逻辑呢。或者说,为了防止无效的暴力请求,在表单开始之初, 能否直接过滤掉一些垃圾请求,过滤掉根本不存在的用户,或者被禁止的用户呢?
我们需要在 LoginController 内重写 login 方法。该方法接收一个请求体:
代码语言:javascript复制public function login(IlluminateHttpRequest $request) {}
验证请求参数是否有效:
代码语言:javascript复制$this->validateLogin($request);
如果用户请求频次超限被锁定,则直接返回:
代码语言:javascript复制if ($this->hasTooManyLoginAttempts($request)) {
$this->fireLockoutEvent($request);
return $this->sendLockoutResponse($request);
}
请求参数正常,接着验证用户的账号密码是否正确:
代码语言:javascript复制$ok = $this->guard()->validate($this->credentials($request));
如果账号密码错误,则增加请求计数频次:
代码语言:javascript复制$this->incrementLoginAttempts($request);
抛出一个登陆错误的提示页面:
代码语言:javascript复制return $this->sendFailedLoginResponse($request);
如果用户账号密码正确,也就是登陆成功了。首先获取用户模型:
代码语言:javascript复制$user = $this->guard()->getLastAttempted();
接着就是我们需求中所说的业务逻辑,可以过滤用户是否active。使用判断:
代码语言:javascript复制$is_active = $user->active && $this->attemptLogin($request);
如果逻辑通过,则将页面导航到成功后页面:
代码语言:javascript复制return $this->sendLoginResponse($request);
如果不通过,大概率这用户是无效非法的,累加其登陆频次计数:
代码语言:javascript复制$this->incrementLoginAttempts($request);
并给出错误提示,比较自由,可附加提示信息:
代码语言:javascript复制return redirect()->back()->withInput($request->only($this->username(), 'remember'))->withErrors(['active' => 'You must be active to login.']);
至此,登陆筛选的逻辑就完成了。
简化版
如果像上一节那样大改login方法你觉得有些困难,那我们可以来一个简化版, 在登陆验证阶段,直接验证用户,并给出错误提示。
我们知道控制器继承了 Validator,可以直接使用 validate 方法手动构建验证规则:
考虑以下代码:
代码语言:javascript复制protected function validateLogin(Request $request)
{
$this->validate($request, [
$this->username() => 'exists:users,' . $this->username() . ',active,1',
'password' => 'required|string',
]);
}
我们在控制器内调用该方法进行过滤验证即可。
写在最后
本文通过一步步实现用户登录验证流程的方式,将自定义的逻辑嵌入到登录处理流程内, 这是一种魔改。当然在请求阶段,在应用逻辑处理到响应体之前,你都有机会干预此次请求。laravel毕竟太灵活了。
Happy coding :-)