目录
接口开发中,通常我们需要在中间件里边做一些全局性的前置判断,获取请求中的公共参数,然后传递给控制器
参考网络上的大部分文章,整理出以下传递参数的方式,并深入研究,作出一些思考
1、中间件和控制器测试
中间件
<?php namespace App\Http\Middleware; use Illuminate\Http\Request; /** * 测试中间件 */ class TestMiddleware { public function handle(Request $request, \Closure $next) { // 设置参数 $request->attributes->set('name', 'Tom'); return $next($request); } }
控制器中取值
<?php namespace App\Http\Controllers; use Illuminate\Http\Request; class TestController extends Controller { public function index(Request $request): array { return [ 'name:input' => $request->input('name'), 'name:get' => $request->get('name') ]; } }
请求提交参数
{ "name": "Jack" }
返回参数
{ "data": { "name:input": "Jack", "name:get": "Tom" }, "msg": "success", "code": 0 }
2、安全隐患
目前看,都挺好的
如果中间件中没有设置参数,就会取到用户传递过来的参数
public function handle(Request $request, \Closure $next) { // $request->attributes->set('name', 'Tom'); return $next($request); }
如果用于安全性较高的场景,有点不适用
{ "data": { "name:input": "Jack", "name:get": "Jack" }, "msg": "success", "code": 0 }
假设,需要一个当前登录用户的id,假设是变量 current_login_user_id
如果我们没有加中间件,前端中接口中传递了这个参数,那么我们的代码将会出现安全隐患。
3、支持的传参方式
我们看下支持的传参方式
中间件
class TestMiddleware { public function handle(Request $request, \Closure $next) { $request->name = 'prototype_name'; $request->attributes->set('name', 'attr_name'); return $next($request); } }
控制器
public function index(Request $request): array { return [ 'name:prototype' => $request->name, 'name:input' => $request->input('name'), 'name:query' => $request->query('name'), 'name:attr' => $request->get('name') ]; }
请求
POST {{api_url}}/test?name=query_name Content-Type: application/json; charset=utf-8 { "name": "post_name" }
{ "name:prototype": "prototype_name", "name:input": "post_name", "name:query": "query_name", "name:attr": "attr_name" }
如果取消中间件,发现数据并不是所期待的那样,取到null值
{ "name:prototype": "post_name", "name:input": "post_name", "name:query": "query_name", "name:attr": "query_name" }
4、总结
综上,可以采用如下方式传递中间件参数到控制器是可行的
// 中间件设置值 设置为null,就算请求参数中携带了name, 也能取到null值 $request->attributes->set('name', null); // 控制器取值 $request->get('name')
看下get的实现代码
public function get(string $key, mixed $default = null): mixed { if ($this !== $result = $this->attributes->get($key, $this)) { return $result; } if ($this->query->has($key)) { return $this->query->all()[$key]; } if ($this->request->has($key)) { return $this->request->all()[$key]; } return $default; } public function get(string $key, mixed $default = null): mixed { return \array_key_exists($key, $this->parameters) ? $this->parameters[$key] : $default; }
array_key_exists 意味着,如果设置了值,就会直接返回,不再往下查找其他值
5、一种更为安全的做法
一种更为安全的做法,是建立一个枚举变量,来替代字符串变量
const key = '192b9bdd22ab9ed4d12e236c78afcb9a393ec15f71bbf5dc987d54727823bcbf' // 就算没有设置值,也不会错误的从请求参数中获取值 $value = input->get(key)
利用Python,可以很容易生成这种很长的数字
Python编程:使用os.urandom生成Flask的秘钥SECRET_KEY
