8

我正在为 Slim4 中的授权中间件苦苦挣扎。这是我的代码:

$app = AppFactory::create();
$app->add(new Authentication());

$app->group('/providers', function(RouteCollectorProxy $group){
    $group->get('/', 'Project\Controller\ProviderController:get');
})->add(new SuperuserAuthorization());

身份验证中间件检查用户并正常工作。

ProviderController 中的get方法是

public function get(Request $request, Response $response): Response{
    $payload = [];
    foreach(Provider::all() as $provider){
        $payload[] = [
            'id' => $provider->id,
            'name' => $provider->name,
        ];
    }
    $response->getBody()->write(json_encode($payload));
    return $response;
}

SuperuserAuthorization 看起来像这样

class SuperuserAuthorization{
    public function __invoke(Request $request, RequestHandler $handler): Response{
        $response = $handler->handle($request);
        $authorization = explode(" ", $request->getHeader('Authorization')[0]);
        $user = User::getUserByApiKey($authorization[1]);
        if(! Role::isSuperuser($user)){
            return $response->withStatus(403);//Forbidden
        }
        return $response;
    }
}

问题是即使用户不是超级用户,应用程序也会继续执行。结果,我得到了所有提供者的 json 和 http 代码 403:/

路由中间件不应该阻止请求进入应用程序并立即返回 403 吗?

我知道我可以创建新的空响应,状态为 403,所以数据不会出来,但关键是请求永远不应该超出这个中间件,我是对的还是我只是在这里误解了一些东西......</p >

任何帮助将不胜感激 :)

- - - - - - - 解决方案 - - - - - - - -

感谢@Nima,我解决了它。中间件的更新版本为:

class SuperuserAuthorization{
    public function __invoke(Request $request, RequestHandler $handler): Response{
        $authorization = explode(" ", $request->getHeader('Authorization')[0]);
        $user = User::getUserByApiKey($authorization[1]);
        if(! Role::isSuperuser($user)){
            $response = new Response();
            return $response->withStatus(403);//Forbidden
        }
        return $handler->handle($request);
    }
}
4

1 回答 1

8

路由中间件不应该阻止请求进入应用程序并立即返回 403 吗?

Slim 4 使用PSR-15兼容的中间件。在 PSR-15 元文档中有一个很好的例子来说明如何实现一个授权中间件。$handler->handle($request)如果您不希望进一步处理请求,则需要避免调用。

如您在示例中所见,如果请求未授权,$handler->handle($request)则返回与返回值不同的响应。这意味着您的意思是:

我知道我可以创建新的空响应,状态为 403,所以数据不会出来,但关键是请求永远不应该超出这个中间件

在某种程度上是正确的,但是您应该通过在调用处理程序之前返回适当的响应来防止请求进一步进行,或者抛出异常并让错误处理程序处理它。

这是一个简单的中间件,它随机授权一些请求并为其他请求抛出异常:

$app->group('/protected', function($group){
    $group->get('/', function($request, $response){
        $response->getBody()->write('Some protected response...');
        return $response;
    });
})->add(function($request, $handler){
    // randomly authorize/reject requests
    if(rand() % 2) {
        // Instead of throwing an exception, you can return an appropriate response
        throw new \Slim\Exception\HttpForbiddenException($request);
    }
    $response = $handler->handle($request);
    $response->getBody()->write('(this request was authorized by the middleware)');
    return $response;
});

要查看不同的响应,请访问/protected/路径几次(记住中间件随机动作)

于 2020-01-14T11:48:24.463 回答