Laravel 5.6 实现 URL 自动登陆

当用户回到你的应用程序时，自动登录是一个很好的方法让用户和你的应用保持紧密联系。如果你能防止他们从可能忘记密码的认证流程中分散注意力，或者甚至通过他们加入你网站的电子邮件地址来访问你的网站，那么他们可以继续做他们想做的事情，用户也会为此感到高兴。

我使用过的最常见的用例就是客户通知。 无论是电子邮件还是文本，如果你发送一个能够重新回到你网站的私密链接，你可以将其设置为重新登录到他们的账号 （如果他们还没有登录）。

旧的方式

我创建了一个 watson/autologin 包去实现这个特性-这个包用来生成一个用户自动登录的链接。这个包依赖一个数据库的表，表里面存储着还没到期的 URL 的 token 以及重定向的链接和要登录的用户信息。

新的方式

在 Laravel 5.6.12 中，有一个 称作为 signed URLS 的新的不错的特性 ，这个自带签名认证 URL 可以很简单的实现 URL 自动登录并且不需要依赖数据的存储。

让我们来看一个关于如何实现 URL 自动登录的简单例子。首先，我们先要创建一个用户自动登录的路由，并在这个路由上加上 signed 中间件。如果 URL 的签名不匹配，这个中间件将会抛出一个错误。在下面的例子中，我们让用户认证通过，登录，最后重定向到 home 。

use App\User;
use Illuminate\Support\Facades\Auth;

Route::get('/autologin/{user}, function (User $user) {
  Auth::login($user);

  return redirect()->home();
})->name('autologin')->middleware('signed');

生成 URL 也很简单，你可以使用 URL 的门面模式去生成，跟其他 URL 的生成方式是一样的。

use App\User;
use Illuminate\Support\Facades\URL;

$user = User::first();

$url = URL::signedRoute('autologin', ['user' => $user]);

上面的代码就会生成你所期望的 URL ，只是在 URL 上会带有一个很长的“随机”签名作为查询参数。就像这样子 /autologin/1?signature=someReallyLongString 。当 Laravel 去解析这个路由的时候， signed 中间件会先去查看并且验证这个签名是否有效，只有中间件这里验证通过了，程序才会继续往下面执行。

如果你想设置自动登录链接的有效期，其实这个功能也是开箱即用的。比如说你可以拥有一个自动登录的链接，这个链接一天以后将会失效。

但是要注意一点，如果你设置了自动登录链接的有效期，就要去考虑添加一些异常处理 Illuminate\Routing\Exceptions\InvalidSignatureException （当收到不合法的签名时，将会抛出异常）并且要通知你的用户，让他们知道是这个链接过期了而不是直接返回一个 状态码为 500 错误响应。

use App\User;
use Illuminate\Support\Facades\URL;

$user = User::first();

$url = URL::temporarySignedRoute(
  'autologin',
  now()->addDays(1),
  ['user' => $user]
);

工作原理？

实际上非常值得潜下心来看一看，它的底层是如何工作的，因为它的实现非常简单。让我们看这个 signedRoute 方法，忽略其它内容直接看最后一行。

/**
 * 为命名路由创建一个签名路由URL。
 *
 * @param  string  $name
 * @param  array  $parameters
 * @param  \DateTimeInterface|int  $expiration
 * @return string
 */
public function signedRoute($name, $parameters = [], $expiration = null)
{
    $parameters = $this->formatParameters($parameters);

    if ($expiration) {
        $parameters = $parameters + ['expires' => $this->availableAt($expiration)];
    }

    $key = call_user_func($this->keyResolver);

    return $this->route($name, $parameters + [
        'signature' => hash_hmac('sha256', $this->route($name, $parameters), $key),
    ]);
}

这个方法真正地返回你想要的 URL，并且带有附加查询参数 signature ，查询参数是通过把路由本身和应用的加密秘钥以 SHA-256 算法哈希加密处理的方式获得的。

这个 APP_KEY 是你在 .env 文件中设置的参数，用来内部加密。除了你之外没有人知道 APP_KEY 的值，所以其他人不可能给你的路由通过 SHA 加密生成一个合法的签名。

很不错-但接下来会发生什么？

如果我们去查看下 Illuminate\Routing\Middleware\ValidateSignature 这个中间件，里面没有很多的代码，但是它很简洁和清晰。

if ($request->hasValidSignature()) {
    return $next($request);
}

throw new InvalidSignatureException;

这个中间件会要求确认请求的签名是否合法，如果是合法的，则调用堆栈中的下一个中间件。如果不是合法的， 则这个请求不通过，并且抛出一个 InvalidSignatureException 的异常，阻止黑客去攻击这些看起来很招摇的 URL 。

.

最后让我们来看下 hasValidSignature 代码实现，代码不少，不过我们只需要专注几个重点即可。

/**
 * 检测请求是否有正确的签名
 *
 * @param  \Illuminate\Http\Request  $request
 * @return bool
 */
public function hasValidSignature(Request $request)
{
    $original = rtrim($request->url().'?'.http_build_query(
        Arr::except($request->query(), 'signature')
    ), '?');

    $expires = Arr::get($request->query(), 'expires');

    $signature = hash_hmac('sha256', $original, call_user_func($this->keyResolver));

    return  hash_equals($signature, $request->query('signature')) &&
           ! ($expires && Carbon::now()->getTimestamp() > $expires);
}

首先重建去除了签名参数的路由，下一步对其进行 SHA-256 哈希，并将其值与 Laravel 生成的哈希签名做验证，如果哈希相等就算通过。

你可以看到，此函数甚至检查 expires 参数，这是为  temporarySignedRoute 的逻辑准备的。

感谢框架作者 Taylor 新增了这个简单的而优雅的功能。
另外

是否觉得奇怪，请求时中间件调用了 hasValidSignature() 方法，它实际属于 Illuminate\Routing\UrlGenerator? 这实际证明，它在 Laravel 的 FoundationServiceProvider 服务中被注册为宏。

Request::macro('hasValidSignature', function () {
    return URL::hasValidSignature($this);
});

不错的收获.

本文中的所有译文仅用于学习和交流目的，转载请务必注明文章译者、出处、和本文链接
我们的翻译工作遵照 CC 协议，如果我们的工作有侵犯到您的权益，请及时联系我们。

原文地址：https://www.neontsunami.com/posts/autolo...

译文地址：https://learnku.com/laravel/t/13018/lara...