Laravel8中间件参数获取与认证详解

本篇文章给大家分享《Laravel 8 中间件参数获取与认证教程》，覆盖了文章的常见基础知识，其实一个语言的全部知识点一篇文章是不可能说完的，但希望通过这些问题，让读者对自己的掌握程度有一定的认识(B 数)，从而弥补自己的不足，更好的掌握它。

本文旨在解决 Laravel 8 中间件中请求参数获取失败的问题，并深入探讨了用户认证的最佳实践。通过分析常见错误原因，我们将提供清晰的代码示例和详细的步骤，帮助开发者正确地从请求中获取参数，并构建安全可靠的身份验证机制，避免潜在的安全漏洞。

理解 Laravel 请求对象

在 Laravel 中，$request 对象是 Illuminate\Http\Request 类的实例，它包含了所有关于当前 HTTP 请求的信息，例如请求头、请求体、查询参数等。要从请求中获取查询参数，应该使用 $request->query('parameter_name') 或 $request->input('parameter_name') 方法。

解决 $request->user 始终返回 false 的问题

在提供的代码中，中间件 CheckAdmin 使用 $request->user == 'admin' 来判断用户是否为管理员。这是不正确的，因为 $request->user() 方法在 Laravel 中是保留方法，用于获取已认证的用户实例。如果你尝试直接访问 $request 对象的 user 属性，实际上并没有定义这个属性，所以会返回 null，与字符串 'admin' 比较时会返回 false。

正确的做法是使用 $request->query('user') 或 $request->input('user') 来获取 URL 中的 user 参数。

修改后的 CheckAdmin 中间件代码如下：

namespace App\Http\Middleware;

use Closure;
use Illuminate\Http\Request;

class CheckAdmin
{
    /**
     * Handle an incoming request.
     *
     * @param  \Illuminate\Http\Request  $request
     * @param  \Closure  $next
     * @return mixed
     */
    public function handle(Request $request, Closure $next)
    {
        if($request->input('user') == 'admin'){
            return $next($request); // 允许访问
        } else {
            return redirect('/about'); // 重定向到 about 页面
        }
    }
}

注意： 在这个修改后的代码中，我们移除了 return $next($request); 在 else 语句之外的冗余调用。

安全性考量：避免在 URL 中传递敏感信息

虽然上述方法可以解决参数获取的问题，但将 'admin' 这样的身份验证信息直接放在 URL 中是非常不安全的。任何用户都可以通过修改 URL 来冒充管理员。

更安全的做法是使用 Laravel 的身份验证系统，例如使用 Auth facade 和数据库中的用户表来验证用户身份。

使用 Laravel Auth 进行用户认证

1. 创建用户表和模型：

   php artisan make:migration create_users_table --create=users
   php artisan make:model User

   在 create_users_table 迁移文件中，确保包含必要的字段，例如 name、email、password 和 is_admin（用于标识管理员）。

   // database/migrations/xxxx_xx_xx_create_users_table.php
   public function up()
   {
       Schema::create('users', function (Blueprint $table) {
           $table->id();
           $table->string('name');
           $table->string('email')->unique();
           $table->timestamp('email_verified_at')->nullable();
           $table->string('password');
           $table->boolean('is_admin')->default(false); // 添加 is_admin 字段
           $table->rememberToken();
           $table->timestamps();
       });
   }

   运行迁移：

   php artisan migrate

2. 注册和登录：

   使用 Laravel 提供的身份验证 scaffolding 来快速生成注册和登录页面：

   composer require laravel/ui
   php artisan ui vue --auth
   npm install && npm run dev

3. 修改 CheckAdmin 中间件：

   在中间件中，使用 Auth::check() 检查用户是否已登录，并检查用户的 is_admin 字段。

   namespace App\Http\Middleware;
   
   use Closure;
   use Illuminate\Http\Request;
   use Illuminate\Support\Facades\Auth;
   
   class CheckAdmin
   {
       /**
        * Handle an incoming request.
        *
        * @param  \Illuminate\Http\Request  $request
        * @param  \Closure  $next
        * @return mixed
        */
       public function handle(Request $request, Closure $next)
       {
           if (Auth::check() && Auth::user()->is_admin) {
               return $next($request); // 允许访问
           } else {
               return redirect('/about'); // 重定向到 about 页面
           }
       }
   }

4. 更新路由：

   Route::get('/admin', [AdminController::class, 'index'])->middleware('CheckAdmin', 'auth');

   现在，只有已登录且 is_admin 字段为 true 的用户才能访问 /admin 路由。

总结

在 Laravel 中，从请求中获取参数应该使用 $request->query() 或 $request->input() 方法。避免使用保留的属性或方法名。最重要的是，永远不要将敏感信息直接放在 URL 中。使用 Laravel 的内置身份验证系统来构建安全可靠的应用程序。 通过本教程，您应该能够正确地在 Laravel 8 中间件中获取请求参数，并了解如何实现安全的身份验证。

理论要掌握，实操不能落！以上关于《Laravel8中间件参数获取与认证详解》的详细介绍，大家都掌握了吧！如果想要继续提升自己的能力，那么就来关注golang学习网公众号吧！