Rumah >rangka kerja php >Laravel >laravel mematikan pengesahan token

laravel mematikan pengesahan token

PHPz
PHPzasal
2023-05-29 12:55:07870semak imbas

Laravel ialah rangka kerja PHP popular yang menyediakan banyak ciri dan alatan yang mudah untuk membantu pembangun membina aplikasi web dengan cepat dan cekap. Salah satu fungsi penting ialah pengesahan Token, yang merupakan mekanisme keselamatan yang digunakan untuk memastikan maklumat pengguna tidak akan diakses atau diubah suai secara haram. Tetapi kadangkala, pembangun perlu mematikan pengesahan Token buat sementara waktu. Artikel ini akan memperkenalkan cara untuk mematikan pengesahan Token dalam Laravel.

1 Mengapa mematikan pengesahan Token?

Dalam Laravel, pengesahan Token didayakan secara lalai. Apabila pengguna log masuk atau mendaftar melalui aplikasi web, Laravel secara automatik menjana Token untuk mengesahkan identiti pengguna dan mencegah serangan berniat jahat. Ini boleh meningkatkan keselamatan aplikasi web dan mengurangkan potensi risiko.

Tetapi dalam sesetengah kes, pembangun mungkin perlu mematikan pengesahan Token buat sementara waktu. Contohnya, apabila pembangun sedang menguji atau menyahpepijat, mematikan pengesahan token boleh mempercepatkan pembangunan dan kecekapan. Selain itu, dalam beberapa kes, apabila memanggil API pihak ketiga atau menyepadukan sistem lain, pengesahan token perlu dilumpuhkan buat sementara waktu.

2. Bagaimana untuk mematikan pengesahan Token?

Dalam Laravel, mematikan pengesahan Token boleh dicapai dalam dua cara.

  1. Matikan pengesahan Token dalam middleware

Middleware ialah ciri yang sangat berkuasa dalam Laravel yang boleh digunakan untuk mengendalikan permintaan dan respons HTTP. Dalam Laravel, pengesahan Token dilaksanakan dalam perisian tengah. Oleh itu, tingkah laku pengesahan Token boleh diubah suai dalam perisian tengah.

Untuk mematikan pengesahan Token, anda boleh mengedit fail AppHttpMiddlewareVerifyCsrfToken.php dan menukarnya kepada kod berikut:

<?php

namespace AppHttpMiddleware;

use IlluminateFoundationHttpMiddlewareVerifyCsrfToken as Middleware;

class VerifyCsrfToken extends Middleware
{
    /**
     * The URIs that should be excluded from CSRF verification.
     *
     * @var array
     */
    protected $except = [
        //
    ];

    /**
     * Determine if the session and input CSRF tokens match.
     *
     * @param  IlluminateHttpRequest  $request
     * @return bool
     */
    protected function tokensMatch($request)
    {
        return true;
    }
}

Dalam kod di atas, kami mematikan pengesahan Token dengan mengatasi tokensMatch( ) fungsi. Fungsi tokensMatch() ialah fungsi yang digunakan untuk membandingkan sama ada token input sepadan dengan token dalam Sesi. Dengan mengembalikan benar, kami melumpuhkan pengesahan token.

Sila ambil perhatian bahawa kaedah ini tidak selamat sepenuhnya. Mematikan pengesahan token menjadikan aplikasi web anda terdedah kepada serangan CSRF. Oleh itu, kami hanya mengesyorkan penggunaannya semasa ujian dan pembangunan.

  1. Matikan pengesahan Token dalam laluan

Cara lain untuk mematikan pengesahan Token ialah menggunakan fungsi withoutMiddleware() dalam laluan. Fungsi ini boleh membantu kami melangkau perisian tengah yang ditentukan, termasuk perisian tengah pengesahan Token.

Untuk menggunakan fungsi withoutMiddleware(), anda perlu memanggil pengawal dan fungsi yang ditentukan melalui penghalaan. Contohnya:

Route::get('/example', 'ExampleController@exampleFunction')->withoutMiddleware(['auth', 'csrf']);

Dalam kod di atas, kami menggunakan fungsi withoutMiddleware() untuk mengalih keluar perisian tengah pengesahan Token daripada laluan. Ini akan membolehkan kami menggunakan permintaan HTTP tanpa token.

Perlu diingatkan bahawa kaedah ini juga mempunyai kelemahan keselamatan, dan disyorkan untuk digunakan apabila perlu.

3. Hidupkan pengesahan Token

Selepas anda melengkapkan ujian atau melumpuhkan pengesahan Token, kami mengesyorkan agar anda menghidupkan pengesahan Token untuk memastikan keselamatan aplikasi web anda. Anda boleh menggunakan kaedah yang sama untuk mendayakan pengesahan Token, hanya padamkan kod yang diubah suai.

Dalam Laravel, mendayakan pengesahan token adalah sangat mudah. Cuma pastikan perisian tengah VerifyCsrfToken didaftarkan dan tidak dilumpuhkan.

<?php

namespace AppHttp;

use IlluminateFoundationHttpKernel as HttpKernel;

class Kernel extends HttpKernel
{
    /**
     * The application's global HTTP middleware stack.
     *
     * @var array
     */
    protected $middleware = [
        IlluminateFoundationHttpMiddlewareCheckForMaintenanceMode::class,
        IlluminateFoundationHttpMiddlewareValidatePostSize::class,
        AppHttpMiddlewareTrimStrings::class,
        IlluminateFoundationHttpMiddlewareConvertEmptyStringsToNull::class,
    ];

    /**
     * The application's route middleware.
     *
     * @var array
     */
    protected $routeMiddleware = [
        'auth' => AppHttpMiddlewareAuthenticate::class,
        'auth.basic' => IlluminateAuthMiddlewareAuthenticateWithBasicAuth::class,
        'bindings' => IlluminateRoutingMiddlewareSubstituteBindings::class,
        'can' => IlluminateAuthMiddlewareAuthorize::class,
        'guest' => AppHttpMiddlewareRedirectIfAuthenticated::class,
        'signed' => IlluminateRoutingMiddlewareValidateSignature::class,
        'throttle' => IlluminateRoutingMiddlewareThrottleRequests::class,
        'verified' => IlluminateAuthMiddlewareEnsureEmailIsVerified::class,
        'csrf' => AppHttpMiddlewareVerifyCsrfToken::class,
    ];
}

Dalam kod di atas, kita dapat melihat bahawa perisian tengah VerifyCsrfToken didaftarkan sebagai perisian tengah 'csrf', yang bermaksud ia akan berfungsi secara lalai.

4. Kesimpulan

Pengesahan token ialah mekanisme keselamatan yang sangat penting dalam Laravel, yang boleh menghalang serangan berniat jahat dan melindungi keselamatan data pengguna. Tetapi kadangkala, anda mungkin perlu melumpuhkan pengesahan token buat sementara waktu untuk mempercepatkan pembangunan dan kecekapan. Artikel ini memperkenalkan cara untuk mematikan pengesahan Token dalam Laravel dan mengingatkan anda tentang kemungkinan risiko keselamatan yang disebabkan oleh mematikan pengesahan Token. Kami mengesyorkan menggunakan ciri ini hanya semasa pembangunan dan ujian. Dalam persekitaran pengeluaran, anda harus memastikan pengesahan token dihidupkan untuk memastikan keselamatan aplikasi web anda.

Atas ialah kandungan terperinci laravel mematikan pengesahan token. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!

Kenyataan:
Kandungan artikel ini disumbangkan secara sukarela oleh netizen, dan hak cipta adalah milik pengarang asal. Laman web ini tidak memikul tanggungjawab undang-undang yang sepadan. Jika anda menemui sebarang kandungan yang disyaki plagiarisme atau pelanggaran, sila hubungi admin@php.cn