zoukankan      html  css  js  c++  java
  • Laravel5 快速认证逻辑流程分析

    Laravel5本身自带一套用户认证功能,只需在新项目下,使用命令行php artisan make:auth 和 php artisan migrate就可以使用自带的快速认证功能。

    以下为分析登录功能的逻辑分析,以Laravel 5.5版本为准。

    通过命令php artisan route:list得到登录路由(红框):

    打开查看/app/Http/Controller/Auth/LoginController.php,文件代码很简洁,其实登录逻辑和方法都集成在Illuminate/Foundation/Auth/AuthenticatesUsers的trait里了:

    查看IlluminateFoundationAuthAuthenticatesUsers代码的login方法,参数$request为请求对象,包含登录请求的信息包括登录名、密码等:

    line31: validateLogin方法负责调用controller本身的validate方法验证用户名和密码是否符合简单规则,这个就没必要深入讲了。

     

    值得注意的是红框标注的username方法,开发者可以在LoginController自定义该方法覆盖trait此方法,自定义登录账号字段,trait默认为'email'。

    勿直接更改trait的username()方法,保持Laravel5框架的完整性,道理就不详说了。

    line36:hasTooManyLoginAttempts方法,用于检验账号尝试登录的次数是否达到设定的最大值。

    此方法引用于IlluminateFoundationAuthThrottlesLogins的trait。看trait名称就猜得出它是负责避免暴力登录用的。

    上图中的limiter()返回RateLimiter对象(顾名思义:频率限制器),该对象是app服务容器创建的。该对象源于:IlluminateCacheRateLimiter文件。

    从该对象的位置可以看出,它使用了Laravel缓存机制处理登录次数。

    所以上图hasTooManyLoginAttempts方法是调用了RateLimiter对象的tooManyAttempts方法验证登录次数:

    tooManyAttempt方法有三个参数:

    $key:用于cacche保存当前账号的登录次数值的相对应key。该key组成是这样的:

    所以该key值大致是这样的:"email|101:10:45:12"。从这里可以看得出该暴力破解防范是利用了ip。当然了要是换IP我还是可以再去尝试登录的,虽然总有局限性,但总比裸着强多了。

    $maxAttempts:最大尝试登录次数设定值。

    该值是可以自定义的,可以写在LoginController自定义maxAttempts属性,默认为5次:

    $decayMinutes:达到最大尝试次数后恢复登录的等待时长(分钟数)。

    该值也是可自定义的,在LoginController自定义该属性,默认1分钟:

    回到RateLimiter::tooManyAttempts方法,该方法会判断当前登录次数是否达到设定值,如果达到设定值并且还在距离上一次禁止登录时间范围内,则返回true,表示当前用户(IP)还在禁止登录状态。

    下图中的红框,用于判断缓存中是否存在$key.':timer'值,该值用了上面的$decayMinutes时间作为过期时间,所以该值的存在与否是恢复登录状态的关键。

    如果该缓存值不在,则当前用户可以登录了。这时resetAttempts方法清除$key缓存登录次数值,从零开始记录。

    代码执行权再次回到IlluminateFoundationAuthAuthenticatesUsers的line36行:

    当hasTooManyLoginAttempts返回true时,则发起Lockout事件,并返回LockoutResponse响应。用户可以生成Lockout事件监控器,用于处理该事件关连的逻辑,比如记录登录日志等。

    LockoutResponse响应实质上是抛出验证异常,该异常会自动被Laravel解释为423状态码的响应,并附带auth.throttle配置信息。该配置原始语言位于:/resources/lang/en/auth.php。用户可以在自定义自己的语言信息。

    接着,回到IlluminateFoundationAuthAuthenticatesUsers的line42行,开始执行登录验证了:

    attemptLogin方法通过config/auth.php配置的看守器名称,生成对应的看守器对象,然后调用该对象的attempt进行登录验证。

    Laravel5看守器目前支持两种:SessionGuard和tokenGuard,都保存于IlluminateAuth文件夹中,它们都实现于IlluminateContractsAuthGuard接口,所以如果需要自定义看守器请实现该接口。
    如果要实现web的看守器可进一步实现IlluminateContractsAuthStatefulGuard接口。

    至于在哪种情况下使用哪种看守器,都在config/auth.php中配置:

    由于这次我分析的是web登录流程,所以要查看IlluminateAuthsessionGuard的attempt方法:

    line 351: 这行作用是通过配置的提供器provider来检索该账号信息。提供器也有两种:DatabaseUserProvider和EloquentUserProvider。文件位于:/Illuminate/Auth。

    具体使用哪种通过config/auth.php的providers参数配置,配置好后还要在'guards‘参数中指定使用哪种提供器。提供器实质上就是提供哪种方式查询数据库账号表,database就是直接用数据库Db门面查询,eloquent则用模型查询。

    Laravel默认用的是EloquentUserProvider,查看该retrieveByCredentials方法,很明显看得出是直接账号名来查询该用户信息:

    回到IlluminateAuthsessionGuard的attempt方法,line356行的hasValidCredentials方法则进行验证密码,如果上一步的用户信息能正常检索的话。

    从hasValidCredentials方法体可以看出,它调用了提供器的validateCredentials方法来进行密码验证。查看下EloquentUserProvider::validateCredentials方法:

    该验证方法使用了HasherContract契约实现的哈希类的check方法。具体的实现类有:IlluminateHashingBcryptHasher。我们查看该类的check方法:

    很明显,它使用了password_verify函数将输入的明文密码来比对已散列的密码值。这要求了数据库的密码都已经用了password_hash进行散列处理。

    如果验证密码成功,则返回true。回到sessionGuard执行line357的login方法,记录session和cookie登录状态。

    保存的session的key和value分别为:

    ‘key'=>'login_session_'.sha1(static::class)  //static::class指代sessionGuard类本身

    ‘value'=>当前用户的主键值

    如果使用了remember_me选项,则保存以下cookie,key和value如下:

    ‘key'=>''remember_session_'.sha1(static::class)   //static::class指代sessionGuard类本身

    'value'=>用户主键值.'|'.保存的最近一次remember_token值.'|'.用户密码散列值

    到此,用户已成功登录,执行点又最后回到IlluminateFoundationAuthAuthenticatesUsers的line42,attemptLogin已执行完毕并返回true,然后调用sendLoginResponse方法跳转到登录后主页面或上一次登录的页面。

    注意authenticated方法是空方法,可以在LoginController重定义该方法自定义登录后如何跳转和处理其他逻辑。

     

    如果未成功登录,则执行IlluminateFoundationAuthAuthenticatesUsers的incrementLoginAttempts($request)方法,增加一次失败登录次数。增加次数的方法同样是间接调用RateLimiter类的hit()方法。
    最后调用sendFailedLoginResponse返回登录异常。

    最后附上时序图,画得一般般,有些UML概念掌握得不好,见谅:

  • 相关阅读:
    虚拟PC上网设置
    打造无线AP
    ftp密码修改
    桌面
    红蜘蛛
    C++ Zip压缩解压缩[支持递归压缩]
    C++通过访问注册表获取已安装软件信息列表
    IOS Simulator Create Keyboard Shortcut
    简单的silverlight切图程序
    silverlight 反射调用WebService
  • 原文地址:https://www.cnblogs.com/xiwang6428/p/9218270.html
Copyright © 2011-2022 走看看