Laravel 本身提供了完整的用户授权解决方案,对于由 PHP 驱动的多页面应用,Laravel 能够完美解决用户授权问题。但是在 SPA 中,laravel 退化成一个 API server,页面路由和表单提交完全由前端框架控制,此时面临2个问题:
如何在前端实现页面访问权限控制?
如何对 ajax 请求做授权?
如何在前端实现页面访问权限控制?
Ember.js 1.13.0 没有提供 authentication 功能,我使用了一个名为 ember-simple-auth 的第三方扩展。这是它的 Github 主页:
https://github.com/simplabs/ember-simple-auth
首先在你的 ember-cli 项目根目录下安装该扩展:
ember install ember-cli-simple-auth
然后在 ember/config/environment.js 文件中对其进行配置,具体的配置选项在文档中有详细说明,我的配置如下:
// ember/config/environment.jsENV['simple-auth'] = { authorizer: 'authorizer:custom' //我使用了一个自定义的授权模块}; Ember-simple-auth 定义了一系列 mixin 类,只要你的 route 继承了某个 mixin, 就获得了它预定义的某些行为或功能。例如,我的 ember/app/routes/application.js 内容如下:
// ember/app/routes/application.js import ApplicationRouteMixin from 'simple-auth/mixins/application-route-mixin';export default Ember.Route.extend(ApplicationRouteMixin, { actions: { invalidateSession: function() { this.get('session').invalidate(); } }}); application-route-mixin 已经预定义好了一系列 actions 方法。当 session 上的事件被触发时,对应的 action 将被调用来处理该事件。你也可以在 ember/app/routes/application.js 自己的 action 中覆盖这些方法(ember-simple-auth 会在本地 localStorage 中维护一个 session 对象,它保存着前端产生的所有授权信息)。
然后,在只能由已授权用户访问的页面路由中添加 authenticated-route-mixin:
// ember/app/routes/user.js import AuthenticatedRouteMixin from 'simple-auth/mixins/authenticated-route-mixin';export default Ember.Route.extend(AuthenticatedRouteMixin,{ model: function(params) { return this.store.find('user',params.user_id); }}); authenticated-route-mixin 保证了只有授权用户才能访问 /user。如果未授权,则默认重定向到 /login 。所以在 ember/app/routes/login.js 中需要添加 unauthenticated-route-mixin :
// ember/app/routes/login.js import UnauthenticatedRouteMixin from 'simple-auth/mixins/unauthenticated-route-mixin';export default Ember.Route.extend(UnauthenticatedRouteMixin);
unauthenticated-route-mixin 保证该路径不需要授权也能访问,这对于 /login 是合理的。
如何对 ajax 请求做授权?
自定义 authenticator : ember/app/authenticators/custom.js
// ember/app/authenticators/custom.jsimport Base from 'simple-auth/authenticators/base';export default Base.extend({ /** * Check auth state of frontend * * @param data (传入session包含的数据) * @returns {ES6Promise.Promise} */ restore: function(data) { return new Ember.RSVP.Promise(function(resolve, reject) { if ( data.is_login ){ resolve(data); } else{ reject(); } }); }, /** * Permission to login by frontend * * @param obj credentials * @returns {ES6Promise.Promise} */ authenticate: function(credentials) { var authUrl = credentials.isLogin ? '/auth/login' : '/auth/register' return new Ember.RSVP.Promise(function(resolve, reject) { Ember.$.ajax({ url: authUrl, type: 'POST', data: { email: credentials.identification, password: credentials.password } }).then(function(response) { if(response.login === 'success'){ resolve({ is_login : true }); } }, function(xhr, status, error) { reject(xhr.responseText); }); }); }, /** * Permission to logout by frontend * * @returns {ES6Promise.Promise} */ invalidate: function() { return new Ember.RSVP.Promise(function(resolve) { Ember.$.ajax({ url: '/auth/logout', type: 'GET' }).then(function(response) { if(response.logout === 'success'){ resolve(); } }); }); }}); restore, authenticate, invalidate 3个函数分别用来获取授权,进行授权,取消授权。
自定义 authorizer : ember/app/authorizers/custom.js
// ember/app/authorizers/custom.jsimport Base from 'simple-auth/authorizers/base';export default Base.extend({ authorize: function(jqXHR, requestOptions) { var _this = this; Ember.$.ajaxSetup({ headers: { 'X-XSRF-TOKEN': Ember.$.cookie('XSRF-TOKEN') // 防止跨域攻击 }, complete : function(response, state) { // 检查服务器的授权状态 if(response.status===403 && _this.get('session').isAuthenticated) { _this.get('session').invalidate(); } } }); }}); authorize 函数做了两件事:
为每一个 ajax 请求添加 'X-XSRF-TOKEN' header
检查服务器返回的授权状态,并做处理
??具体来讲:??
header 内容是 laravel 所设置的 'XSRF-TOKEN' cookie 的值,laravel 会尝试从每一个请求中读取 header('X-XSRF-TOKEN'), 并检验 token 的值是否合法,如果检验通过,则认为这是一个安全的请求(该功能在 laravel/app/Http/Middleware/VerifyCsrfToken.php 中实现)。
然后,在 laravel 新建一个中间件(Middleware) ,我把它命名为 VerifyAuth:
<?php// laravel/app/Http/Middleware/VerifyAuth.phpnamespace App\Http\Middleware;use Closure;use Illuminate\Contracts\Auth\Guard;class VerifyAuth{ protected $include = ['api/*']; // 需要做权限验证的 URL protected $auth; public function __construct(Guard $auth) { $this->auth = $auth; } /** * Handle an incoming request. * * @param \Illuminate\Http\Request $request * @param \Closure $next * @abort 403 * @return mixed */ public function handle($request, Closure $next) { if( $this->shouldPassThrough($request) || $this->auth->check() ) { return $next($request); } abort(403, 'Unauthorized action.'); //抛出异常,由前端捕捉并处理 } /** * Determine if the request has a URI that should pass through auth verification. * * @param \Illuminate\Http\Request $request * @return bool */ protected function shouldPassThrough($request) { foreach ($this->include as $include) { if ($request->is($include)) { return false; } } return true; }} 它只对 API 请求做权限验证,因为 AUTH 请求是对权限的操作,而除此之外的其他请求都会作为无效请求重新路由给前端,或者抛出错误。如果一个请求是未被授权的,服务器抛出 403 错误提醒前端需要用户登录或者注册。
最后,在 laravel\app\Http\Controllers\Auth\AuthController.php 中实现所有的授权逻辑:
<?phpnamespace App\Http\Controllers\Auth;use App\User;use Validator;use Response;use Auth;use Illuminate\Http\Request;use App\Http\Controllers\Controller;use Illuminate\Foundation\Auth\ThrottlesLogins;use Illuminate\Foundation\Auth\AuthenticatesAndRegistersUsers;class AuthController extends Controller{ use AuthenticatesAndRegistersUsers, ThrottlesLogins; protected $remember = true; // 是否长期记住已登录的用户 public function __construct() { $this->middleware('guest', ['except' => 'getLogout']); } public function postLogin(Request $credentials) // 登录 { return $this->logUserIn($credentials); } public function getLogout() // 登出 { Auth::logout(); return Response::json(['logout'=>'success']); } public function postRegister(Request $credentials) // 创建并注册新用户 { $newUser = new User; $newUser->email = $credentials['email']; $newUser->password = bcrypt($credentials['password']); $newUser->save(); return $this->logUserIn($credentials); } protected function logUserIn(Request $credentials) // 实现用户登录 { $loginData = ['email' => $credentials['email'], 'password' => $credentials['password']]; if ( Auth::attempt($loginData, $this->remember) ) { return Response::json(['login'=>'success']); } else { return Response::json(['login'=>'failed']); } }} 总结
设置页面访问权限能防止未授权用户访问不属于他的页面,但总归前端是完全暴露给用户的,所以用户的授权状态必须由服务器维护。前端一方面为每个 ajax 请求添加防止跨域攻击的 token, 另一方面当每个请求返回后检查 http status code 是否为 403 权限错误,如果是,则重定向到登录页要求用户取得授权。
11个最佳PHP URL缩短脚本(免费和高级)Mar 03, 2025 am 10:49 AM长URL(通常用关键字和跟踪参数都混乱)可以阻止访问者。 URL缩短脚本提供了解决方案,创建了简洁的链接,非常适合社交媒体和其他平台。 这些脚本对于单个网站很有价值
在Laravel中使用Flash会话数据Mar 12, 2025 pm 05:08 PMLaravel使用其直观的闪存方法简化了处理临时会话数据。这非常适合在您的应用程序中显示简短的消息,警报或通知。 默认情况下,数据仅针对后续请求: $请求 -
构建具有Laravel后端的React应用程序:第2部分,ReactMar 04, 2025 am 09:33 AM这是有关用Laravel后端构建React应用程序的系列的第二个也是最后一部分。在该系列的第一部分中,我们使用Laravel为基本的产品上市应用程序创建了一个RESTFUL API。在本教程中,我们将成为开发人员
简化的HTTP响应在Laravel测试中模拟了Mar 12, 2025 pm 05:09 PMLaravel 提供简洁的 HTTP 响应模拟语法,简化了 HTTP 交互测试。这种方法显着减少了代码冗余,同时使您的测试模拟更直观。 基本实现提供了多种响应类型快捷方式: use Illuminate\Support\Facades\Http; Http::fake([ 'google.com' => 'Hello World', 'github.com' => ['foo' => 'bar'], 'forge.laravel.com' =>
php中的卷曲:如何在REST API中使用PHP卷曲扩展Mar 14, 2025 am 11:42 AMPHP客户端URL(curl)扩展是开发人员的强大工具,可以与远程服务器和REST API无缝交互。通过利用Libcurl(备受尊敬的多协议文件传输库),PHP curl促进了有效的执行
在Codecanyon上的12个最佳PHP聊天脚本Mar 13, 2025 pm 12:08 PM您是否想为客户最紧迫的问题提供实时的即时解决方案? 实时聊天使您可以与客户进行实时对话,并立即解决他们的问题。它允许您为您的自定义提供更快的服务
宣布 2025 年 PHP 形势调查Mar 03, 2025 pm 04:20 PM2025年的PHP景观调查调查了当前的PHP发展趋势。 它探讨了框架用法,部署方法和挑战,旨在为开发人员和企业提供见解。 该调查预计现代PHP Versio的增长
Laravel中的通知Mar 04, 2025 am 09:22 AM在本文中,我们将在Laravel Web框架中探索通知系统。 Laravel中的通知系统使您可以通过不同渠道向用户发送通知。今天,我们将讨论您如何发送通知OV
热AI工具
Undresser.AI Undress
人工智能驱动的应用程序,用于创建逼真的裸体照片
AI Clothes Remover
用于从照片中去除衣服的在线人工智能工具。
Undress AI Tool
免费脱衣服图片
Clothoff.io
AI脱衣机
AI Hentai Generator
免费生成ai无尽的。
热门文章
热工具
SublimeText3汉化版
中文版,非常好用
螳螂BT
Mantis是一个易于部署的基于Web的缺陷跟踪工具,用于帮助产品缺陷跟踪。它需要PHP、MySQL和一个Web服务器。请查看我们的演示和托管服务。
MinGW - 适用于 Windows 的极简 GNU
这个项目正在迁移到osdn.net/projects/mingw的过程中,你可以继续在那里关注我们。MinGW:GNU编译器集合(GCC)的本地Windows移植版本,可自由分发的导入库和用于构建本地Windows应用程序的头文件;包括对MSVC运行时的扩展,以支持C99功能。MinGW的所有软件都可以在64位Windows平台上运行。
禅工作室 13.0.1
功能强大的PHP集成开发环境
SublimeText3 Mac版
神级代码编辑软件(SublimeText3)
