關於Laravel中的Auth模組執行個體詳解

本文是基於Laravel 5.4 版本的本地化模組代碼進行分析書寫；希望能協助到大家更好的學習Auth模組。

模組組成

Auth模組從功能上分為使用者認證和許可權管理兩個部分；從檔案組成上，Illuminate\Auth\Passwords目錄下是密碼重設或忘記密碼處理的小模組，Illuminate\Auth是負責使用者認證和許可權管理的模組，Illuminate\Foundation\Auth提供了登入、修改密碼、重設密碼等一系統列具體邏輯實現；

展示了Auth模組各個檔案的關係，並進行簡要說明；

使用者認證

HTTP本身是無狀態，通常在系統互動的過程中，使用帳號或者Token標識來確定認證使用者；

設定檔解讀

return [ 'defaults' => [ 'guard' => 'web', ... ], 'guards' => [  'web' => [  'driver' => 'session',  'provider' => 'users', ], 'api' => [   'driver' => 'token',   'provider' => 'users', ], ], 'providers' => [ 'users' => [  'driver' => 'eloquent',  'model' => App\User::class, ],  ],], ];

從下往上，理解；

• providers是提供使用者資料的介面，要標註驅動對象和目標對象；此處，鍵名users是一套provider的名字，採用eloquent驅動，modal是App\User::class；

• guards部分針對認證管理部分進行配置；有兩種認證方式，一種叫web，還有一種是api；web認證是基於Session互動，根據sessionId擷取使用者id，在users這個provider查詢出此使用者；api認證是基於token值互動，也採用users這個provider；

• defaults項顯示預設使用web認證；

認證

Session綁定認證資訊：

// $credentials數組存放認證條件，比如郵箱或者使用者名稱、密碼// $remember 表示是否要記住，產生 `remember_token`public function attempt(array $credentials = [], $remember = false)  public function login(AuthenticatableContract $user, $remember = false) public function loginUsingId($id, $remember = false)

HTTP基本認證，認證資訊放在要求標頭部；後面的請求訪問通過sessionId；

public function basic($field = 'email', $extraConditions = [])

只在當前會話中認證，session中不記錄認證資訊：

public function once(array $credentials = [])public function onceUsingId($id)public function onceBasic($field = 'email', $extraConditions = [])

認證過程中（包括註冊、忘記密碼），定義的事件有這些：

事件名	描述
Attempting	嘗實驗證事件
Authenticated	驗證通過事件
Failed	驗證失敗事件
Lockout	失敗次數超過限制，鎖住該請求再次訪問事件
Logi	通過‘remember_token'成功登入時，調用的事件
Logout	使用者退出事件
Registered	使用者註冊事件

還有一些其他的認證方法：

• 檢查是否存在認證使用者：Auth::check()

• 擷取當前認證使用者：Auth::user()

• 退出系統：Auth::logout()

密碼處理

配置解讀

return [ 'defaults' => [  'passwords' => 'users',  ... ],  'passwords' => [  'users' => [   'provider' => 'users',   'table' => 'password_resets',   'expire' => 60,  ], ],]

從下往上，看配置；

• passwords數組是重設密碼的配置；users是配置方案的別名，包含三個元素：provider（提供使用者的方案，是上面providers數組）、table（存放重設密碼token的表）、expire（token到期時間）

• default 項會設定預設的 passwords 重設方案；

重設密碼的調用與實現

先看看Laravel的重設密碼功能是怎麼實現的：

public function reset(array $credentials, Closure $callback) { // 驗證使用者名稱、密碼和 token 是否有效 $user = $this->validateReset($credentials); if (! $user instanceof CanResetPasswordContract) {   return $user; }   $password = $credentials['password']; // 回呼函數執行修改密碼，及持久化儲存 $callback($user, $password); // 刪除重設密碼時持久化儲存儲存的 token $this->tokens->delete($user); return static::PASSWORD_RESET;}

再看看Foundation\Auth模組封裝的重設密碼模組是怎麼調用的：

// 暴露的重設密碼 APIpublic function reset(Request $request) { // 驗證請求參數 token、email、password、password_confirmation $this->validate($request, $this->rules(), $this->validationErrorMessages()); // 調用重設密碼的方法，第二個參數是回調，做一些持久化儲存工作 $response = $this->broker()->reset(  $this->credentials($request), function ($user, $password) {  $this->resetPassword($user, $password);  } ); // 封裝 Response return $response == Password::PASSWORD_RESET  ? $this->sendResetResponse($response)  : $this->sendResetFailedResponse($request, $response);}// 擷取重設密碼時的請求參數protected function credentials(Request $request) { return $request->only(  'email', 'password', 'password_confirmation', 'token' );}// 重設密碼的真實性驗證後，進行的持久化工作protected function resetPassword($user, $password) { // 修改後的密碼、重建 remember_token $user->forceFill([  'password' => bcrypt($password),  'remember_token' => Str::random(60), ])->save(); // session 中的使用者資訊也進行重新賦值           $this->guard()->login($user);}

“忘記密碼 => 發郵件 => 重設密碼” 的大體流程如下：

• 點擊“忘記密碼”，通過路由配置，跳到“忘記密碼”頁面，頁面上有“要發送的郵箱”這個欄位要填寫；

• 驗證“要發送的郵箱”是否是資料庫中存在的，如果存在，即向該郵箱發送重設密碼郵件；

• 重設密碼郵件中有一個連結（點擊後會攜帶 token 到修改密碼頁面），同時資料庫會儲存這個 token 的雜湊加密後的值；

• 填寫“郵箱”，“密碼”，“確認密碼”三個欄位後，攜帶 token 訪問重設密碼API，首頁判斷郵箱、密碼、確認密碼這三個欄位，然後驗證 token是否有效；如果是，則重設成功；

許可權管理

許可權管理是依靠記憶體空間維護的一個陣列變數abilities來維護，結構如下：

$abilities = array( '定義的動作名，比如以路由的 as 名(common.dashboard.list)' => function($user) {  // 方法的參數，第一位是 $user, 當前 user, 後面的參數可以自行決定  return true; // 返回 true 意味有許可權， false 意味沒有許可權 }, ......);

但只用 $abilities，會使用定義的那部分代碼集中在一起太煩索，所以有policy策略類的出現；

policy策略類定義一組實體及實體權限類別的對應關係，比如以文章舉例：

有一個 Modal實體類叫 Post，可以為這個實體類定義一個PostPolicy權限類別，在這個權限類別定義一些動作為方法名；

class PostPolicy { // update 許可權，文章作者才可以修改 public function update(User $user, Post $post) {  return $user->id === $post->user_id; }}

然後在ServiceProvider中註冊，這樣系統就知道，如果你要檢查的類是Post對象，加上你給的動作名，系統會找到PostPolicy類的對應方法；

protected $policies = [ Post::class => PostPolicy::class,];

怎麼調用呢？

對於定義在abilities數組的許可權：

• 目前使用者是否具備common.dashboard.list許可權：Gate::allows('common.dashboard.list')

• 目前使用者是否具備common.dashboard.list許可權：! Gate::denies('common.dashboard.list')

• 目前使用者是否具備common.dashboard.list許可權：$request->user()->can('common.dashboard.list')

• 目前使用者是否具備common.dashboard.list許可權：! $request->user()->cannot('common.dashboard.list')

• 指定使用者是否具備common.dashboard.list許可權：Gate::forUser($user)->allows('common.dashboard.list')

對於policy策略類調用的許可權：

• 目前使用者是否可以修改文章（Gate 調用）：Gate::allows('update', $post)

• 目前使用者是否可以修改文章（user 調用）：$user->can('update', $post)

• 目前使用者是否可以修改文章（用協助函數）：policy($post)->update($user, $post)

• 目前使用者是否可以修改文章（Controller 類方法中調用）：$this->authorize('update', $post);

• 目前使用者是否可以修改文章（Controller 類同名方法中調用）：$this->authorize($post);

• 指定使用者是否可以修改文章（Controller 類方法中調用）：$this->authorizeForUser($user, 'update', $post);

有用的技巧

擷取當前系統註冊的許可權，包括兩部分abilities和policies數組內容，代碼如下：

$gate = app(\Illuminate\Contracts\Auth\Access\Gate::class);$reflection_gate = new ReflectionClass($gate);$policies = $reflection_gate->getProperty('policies');$policies->setAccessible(true);// 擷取當前註冊的 policies 數組dump($policies->getValue($gate));                          $abilities = $reflection_gate->getProperty('abilities');          $abilities->setAccessible(true);// 擷取當前註冊的 abilities 數組dump($abilities->getValue($gate));