PHP:laravel中间件和控制器的请求参数传递与获取

PHP:laravel中间件和控制器的请求参数传递与获取

在这里插入图片描述

目录

    • 1、中间件和控制器测试
    • 2、安全隐患
    • 3、支持的传参方式
    • 4、总结
    • 5、一种更为安全的做法

接口开发中,通常我们需要在中间件里边做一些全局性的前置判断,获取请求中的公共参数,然后传递给控制器

参考网络上的大部分文章,整理出以下传递参数的方式,并深入研究,作出一些思考

1、中间件和控制器测试

中间件

<?php
namespace App\Http\Middleware;
use Illuminate\Http\Request;
/**
 * 测试中间件
 */
class TestMiddleware
{
    public function handle(Request $request, \Closure $next)
    {
        // 设置参数
        $request->attributes->set('name', 'Tom');
        return $next($request);
    }
}

控制器中取值

<?php
namespace App\Http\Controllers;
use Illuminate\Http\Request;
class TestController extends Controller
{
    public function index(Request $request): array
    {
        return [
            'name:input' => $request->input('name'),
            'name:get'   => $request->get('name')
        ];
    }
}

请求提交参数

{
    "name":  "Jack"
}

返回参数

{
  "data": {
    "name:input": "Jack",
    "name:get": "Tom"
  },
  "msg": "success",
  "code": 0
}

2、安全隐患

目前看,都挺好的

如果中间件中没有设置参数,就会取到用户传递过来的参数

public function handle(Request $request, \Closure $next)
    {
        // $request->attributes->set('name', 'Tom');
        return $next($request);
    }

如果用于安全性较高的场景,有点不适用

{
  "data": {
    "name:input": "Jack",
    "name:get": "Jack"
  },
  "msg": "success",
  "code": 0
}

假设,需要一个当前登录用户的id,假设是变量 current_login_user_id

如果我们没有加中间件,前端中接口中传递了这个参数,那么我们的代码将会出现安全隐患。

3、支持的传参方式

我们看下支持的传参方式

中间件

class TestMiddleware
{
    public function handle(Request $request, \Closure $next)
    {
        $request->name = 'prototype_name';
        $request->attributes->set('name', 'attr_name');
        return $next($request);
    }
}

控制器

public function index(Request $request): array
    {
        return [
            'name:prototype'  => $request->name,
            'name:input' => $request->input('name'),
            'name:query' => $request->query('name'),
            'name:attr'   => $request->get('name')
        ];
    }

请求

POST {{api_url}}/test?name=query_name
Content-Type: application/json; charset=utf-8
{
    "name":  "post_name"
}
{
    "name:prototype": "prototype_name",
    "name:input": "post_name",
    "name:query": "query_name",
    "name:attr": "attr_name"
}

如果取消中间件,发现数据并不是所期待的那样,取到null值

{
    "name:prototype": "post_name",
    "name:input": "post_name",
    "name:query": "query_name",
    "name:attr": "query_name"
}

4、总结

综上,可以采用如下方式传递中间件参数到控制器是可行的

// 中间件设置值 设置为null,就算请求参数中携带了name, 也能取到null值
$request->attributes->set('name', null);
// 控制器取值
$request->get('name')

看下get的实现代码

public function get(string $key, mixed $default = null): mixed
    {
        if ($this !== $result = $this->attributes->get($key, $this)) {
            return $result;
        }
        if ($this->query->has($key)) {
            return $this->query->all()[$key];
        }
        if ($this->request->has($key)) {
            return $this->request->all()[$key];
        }
        return $default;
}
public function get(string $key, mixed $default = null): mixed
{
        return \array_key_exists($key, $this->parameters) ? $this->parameters[$key] : $default;
}

array_key_exists 意味着,如果设置了值,就会直接返回,不再往下查找其他值

5、一种更为安全的做法

一种更为安全的做法,是建立一个枚举变量,来替代字符串变量

const key = '192b9bdd22ab9ed4d12e236c78afcb9a393ec15f71bbf5dc987d54727823bcbf'
// 就算没有设置值,也不会错误的从请求参数中获取值
$value = input->get(key)

利用Python,可以很容易生成这种很长的数字
Python编程:使用os.urandom生成Flask的秘钥SECRET_KEY

                       

点击阅读全文

上一篇 2023年 6月 11日 am10:29
下一篇 2023年 6月 11日 am10:31