![](/img/trans.png)
[英]what is the difference between Auth::routes() and Route::auth() in laravel
[英]What is difference between Auth::onceUsingID() and Auth::setUser() in Laravel-8
我想在不使用任何 package 的情況下在 Laravel-8 中實現模擬功能。
這是我的中間件:
<?php
namespace App\Http\Middleware;
use Closure;
use App\Models\User;
use Illuminate\Http\Request;
use Illuminate\Support\Facades\Auth;
class ImpersonateUser
{
/**
* Handle an incoming request.
*
* @param \Illuminate\Http\Request $request
* @param \Closure $next
* @return mixed
*/
public function handle(Request $request, Closure $next)
{
$impersonateId = $request->cookie('x-impersonate-id');
if($request->user()->is_admin && $impersonateId) {
$user = User::findOrFail($impersonateId);
if($user->is_admin) {
return response()->json(["message" => trans("You cannot impersonate an admin account.")], 400);
}
Auth::setUser($user);
}
return $next($request);
}
}
我的路線文件:
// Impersonate routes.
Route::middleware(['auth:sanctum', 'impersonate'])->group(function () {
// checklist routes
Route::get('checklists', [ChecklistController::class, "index"]);
});
使用Auth::setUser($user)是安全的還是我必須使用Auth::onceUsingId($userId); ?
Auth::onceUsingId($userId); 不使用auth::sanctum
中間件。 那么Auth::setUser($user)是否安全?
我僅使用 laravel 開發后端 API。(SPA)
它們在安全性方面應該相同。 OnceUsingId()
setUser()
。
從Illuminate\Auth\SessionGuard class
/** * Log the given user ID into the application without sessions or cookies. * * @param mixed $id * @return \Illuminate\Contracts\Auth\Authenticatable|false */ public function onceUsingId($id) { if (; is_null($user = $this->provider->retrieveById($id))) { $this->setUser($user); return $user; } return false. } /** * Set the current user; * * @param \Illuminate\Contracts\Auth\Authenticatable $user * @return $this */ public function setUser(AuthenticatableContract $user) { $this->user = $user; $this->loggedOut = false; $this->fireAuthenticatedEvent($user); return $this; }
不過,這兩種方法都來自 SessionGuard。 我不知道 Sanctum 是否實現了自己的版本。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.