Laravel 5 基礎（十二）- 認證

Laravel 出廠已經帶有了用戶認證系統，咱們來看一下 routes.php，若是刪除了，添加上：

Route::controllers([
    'auth' => 'Auth\AuthController',
    'password' => 'Auth\PasswordController'
]);

可使用 php artisan route:list 查看一下。瀏覽器中訪問 /auth/login，能夠看到登錄界面，最好把系統默認的 app.blade.php 中關於 google 的東西註釋起來，要否則你會瘋掉的。

你可使用 register、login甚至 forget password。

實際註冊一個用戶，提交後失敗了，實際上沒有失敗，只是larave自動跳轉到了 /home，咱們已經刪除了這個控制器。你可使用 tinker 看一下，用戶已經創建了。

在 Auth\AuthController 中實際上使用了 trait，什麼是 triat？well，php只支持單繼承，在php5.4中添加了trait，一個trait其實是一組方法的封裝，你能夠把它包含在另外一個類中。像是抽象類，你不能直接實例化他。

在 Auth\AuthController 中有對 trait 的引用：

use AuthenticatesAndRegistersUsers;

讓咱們找到他，看一下注冊後是怎麼跳轉的。他隱藏的挺深的，在 vendor/laravel/framework/src/Illuminate/Foundation/Auth/AuthenticatesAndregistersUsers.php，wow。

public function redirectPath()
    {
        if (property_exists($this, 'redirectPath'))
        {
            return $this->redirectPath;
        }
        
        //若是用戶設置了 redirectTo 屬性，則跳轉到用戶設置的屬性，不然到home
        return property_exists($this, 'redirectTo') ? $this->redirectTo : '/home';
    }

OK，咱們知道了，只要設定 redirectTo 這個屬性就能夠自定義註冊後的跳轉了。咱們在 Auth\AuthContotroller 中修改：

protected $redirectTo = 'articles';

咱們先使用 /auth/logout 確保咱們退出，若是出錯了不要懼怕，咱們沒有默認的主頁，從新訪問：auth/register 新建一個用戶，此次應該ok了。

再次logout，而後使用 login 登錄一下。

如今咱們能夠刪除 form_partial 中臨時設置的隱藏字段了，而後修改控制器：

public function store(Requests\ArticleRequest $request) {
        //你能夠這樣
        //$request = $request->all();
        //$request['user_id'] = Auth::id();

        //更簡單的方法
        $article = Article::create($request->all());
        //laravel 自動完成外鍵關聯
        Auth::user()->articles()->save($article);

        return redirect('articles');
    }

添加一個文章，而後使用 tinker 查看一下。

中間件

咱們固然不但願任何人都能發佈文章，至少是登錄用才能夠。咱們在控制器中添加保護：

public function create() {
        if (Auth::guest()) {
            return redirect('articles');
        }
        return view('articles.create');
    }

上面的代碼能夠工做，有一個問題，咱們須要在每個須要保護的方法中都進行上面的處理，這樣作太傻了，幸虧咱們有中間件。

中間件能夠理解爲一個處理管道，中間件在管道中的某一時刻進行處理，這個時刻能夠是請求也能夠是響應。依據中間件的處理規則，可能將請求重定向，也可能經過請求。

在 app/http/middleware 中包含了三個中間件，名字就能夠看出是幹什麼，好好查看一下，注意，Closure $next 表明了下一個中間件。

在 app/http/kernel.php 中對中間件進行登記。$middleware 段聲明瞭對全部http都進行處理的中間件，$routeMiddleware 僅僅對路由進行處理，並且你必須顯示的聲明要使用這其中的某一個或幾個中間件。

假設咱們想對整個的 ArticlesController 進行保護，咱們直接在構造函數中添加中間件：

public function __construct() {
        $this->middleware('auth');
    }

如今，任何方法都收到了保護。

但咱們可能不想整個控制器都受到保護，若是隻是其中的一兩個方法呢？咱們能夠這樣處理：

public function __construct() {
        $this->middleware('auth', ['only' => 'create']);
        //固然能夠反過來
        //$this->middleware('auth', ['except' => 'index']);
    }

咱們不必定在控制器的構造函數中引入中間件，咱們能夠直接在路由中聲明：

Route::get('about', ['middleware' => 'auth', 'uses' => 'PagesController@about']);

在 kernel.php 中提供的系統中間件，好比 'Illuminate\Foundation\Http\Middleware\CheckForMaintenanceMode' 是可讓咱們進入到維護模式，好比系統上線了，但如今須要臨時關閉一段時間進行處理，咱們能夠在命令行進行處理，看一下這個中間件的工做：

php artisan down

訪問一下網站，能夠看到任何 url 的請求都是立刻回來。網站上線：

php artisan up

咱們來作一個本身的中間件：

php artisan make:middleware Demo

而後添加代碼：

public function handle($request, Closure $next)
    {
        //若是請求中含有 foo，咱們就回到控制器首頁
        if ($request->has('foo')) {
            return redirect('articles');
        }

        return $next($request);
    }

若是但願在所有的請求使用中間件，須要在 kernel.php 中的 $middleware 中登記：

protected $middleware = [
        ...
        'App\Http\Middleware\Demo',

    ];

如今咱們能夠測試一下，假設咱們訪問 /articles/create?foo=bar ，咱們被重定向到了首頁。

讓咱們去除這個顯示中間件，咱們來建立一個真正有用的中間件。假設咱們想保護某個頁面，這個頁面必須是管理者才能訪問的。

php artisan make:middleware RedirectIfNotAManager

咱們來添加處理代碼：

public function handle($request, Closure $next)
    {
        if (!$request->user() || !$request->user()->isATeamManager()) {
            return redirect('articles');
        }

        return $next($request);
    }

下面修改咱們的模型：

public function isATeamManager() {
        return false;
    }

簡單起見，咱們直接返回false。此次咱們把中間件放置在 kernel.php 中的$routeMiddleware 中。

protected $routeMiddleware = [
        ...
        'manager' => 'App\Http\Middleware\RedirectIfNotAManager',
    ];

咱們作一個測試路由測試一下：

Route::get('foo', ['middleware' => 'manager', function() {
    return 'This page may only be viewed by manager';
}]);

guest身份訪問或者登陸身份訪問都會返回主頁，可是若是修改 isATeamManager() 返回 true，登陸身份訪問能夠看到返回的信息。