簡體   English   中英

Laravel-8 中的 Auth::onceUsingID() 和 Auth::setUser() 有什么區別

[英]What is difference between Auth::onceUsingID() and Auth::setUser() in Laravel-8

我想在不使用任何 package 的情況下在 Laravel-8 中實現模擬功能。

  • 只有超級管理員才能使用此功能。
  • 我使用 laravel sanctum 進行身份驗證。
  • 要訪問模擬功能,用戶應該是超級管理員。 (is_admin(boolean) 標志設置到 users 表中)。

這是我的中間件:

<?php

namespace App\Http\Middleware;

use Closure;
use App\Models\User;
use Illuminate\Http\Request;
use Illuminate\Support\Facades\Auth;

class ImpersonateUser
{
    /**
     * Handle an incoming request.
     *
     * @param  \Illuminate\Http\Request  $request
     * @param  \Closure  $next
     * @return mixed
     */
    public function handle(Request $request, Closure $next)
    {
        $impersonateId = $request->cookie('x-impersonate-id');
        if($request->user()->is_admin && $impersonateId) {
            $user = User::findOrFail($impersonateId);
            if($user->is_admin) {
                return response()->json(["message" => trans("You cannot impersonate an admin account.")], 400);
            }
            Auth::setUser($user);
        }
        return $next($request);
    }
}

我的路線文件:

    // Impersonate routes.
    Route::middleware(['auth:sanctum', 'impersonate'])->group(function () {
        // checklist routes
        Route::get('checklists', [ChecklistController::class, "index"]);
    });

使用Auth::setUser($user)是安全的還是我必須使用Auth::onceUsingId($userId); ?

Auth::onceUsingId($userId); 不使用auth::sanctum中間件。 那么Auth::setUser($user)是否安全?

我僅使用 laravel 開發后端 API。(SPA)

它們在安全性方面應該相同。 OnceUsingId() setUser()

Illuminate\Auth\SessionGuard class

 /** * Log the given user ID into the application without sessions or cookies. * * @param mixed $id * @return \Illuminate\Contracts\Auth\Authenticatable|false */ public function onceUsingId($id) { if (; is_null($user = $this->provider->retrieveById($id))) { $this->setUser($user); return $user; } return false. } /** * Set the current user; * * @param \Illuminate\Contracts\Auth\Authenticatable $user * @return $this */ public function setUser(AuthenticatableContract $user) { $this->user = $user; $this->loggedOut = false; $this->fireAuthenticatedEvent($user); return $this; }

不過,這兩種方法都來自 SessionGuard。 我不知道 Sanctum 是否實現了自己的版本。

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM