PHP：laravel中间件和控制器的请求参数传递与获取

目录

• • 1、中间件和控制器测试
  • 2、安全隐患
  • 3、支持的传参方式
  • 4、总结
  • 5、一种更为安全的做法

接口开发中，通常我们需要在中间件里边做一些全局性的前置判断，获取请求中的公共参数，然后传递给控制器

参考网络上的大部分文章，整理出以下传递参数的方式，并深入研究，作出一些思考

1、中间件和控制器测试

中间件

PHPnamespace App\Http\Middleware;use Illuminate\Http\Request;class TestMiddleware{    public function handle(Request $request, \Closure $next)    {        // 设置参数        $request->attributes->set('name', 'Tom');        return $next($request);    }}

控制器中取值

phpnamespace App\Http\Controllers;use Illuminate\Http\Request;class TestController extends Controller{    public function index(Request $request): array    {        return [            'name:input' => $request->input('name'),            'name:get'   => $request->get('name')        ];    }}

请求提交参数

{    "name":  "Jack"}

返回参数

{  "data": {    "name:input": "Jack",    "name:get": "Tom"  },  "msg": "success",  "code": 0}

2、安全隐患

目前看，都挺好的

如果中间件中没有设置参数，就会取到用户传递过来的参数

public function handle(Request $request, \Closure $next)    {        // $request->attributes->set('name', 'Tom');        return $next($request);    }

如果用于安全性较高的场景，有点不适用

{  "data": {    "name:input": "Jack",    "name:get": "Jack"  },  "msg": "success",  "code": 0}

假设，需要一个当前登录用户的id，假设是变量 current_login_user_id

如果我们没有加中间件，前端中接口中传递了这个参数，那么我们的代码将会出现安全隐患。

3、支持的传参方式

我们看下支持的传参方式

中间件

class TestMiddleware{    public function handle(Request $request, \Closure $next)    {        $request->name = 'prototype_name';        $request->attributes->set('name', 'attr_name');        return $next($request);    }}

控制器

public function index(Request $request): array    {        return [            'name:prototype'  => $request->name,            'name:input' => $request->input('name'),            'name:query' => $request->query('name'),            'name:attr'   => $request->get('name')        ];    }

请求

POST {{api_url}}/test?name=query_nameContent-Type: application/JSON; charset=utf-8{    "name":  "post_name"}

{    "name:prototype": "prototype_name",    "name:input": "post_name",    "name:query": "query_name",    "name:attr": "attr_name"}

如果取消中间件，发现数据并不是所期待的那样，取到null值

{    "name:prototype": "post_name",    "name:input": "post_name",    "name:query": "query_name",    "name:attr": "query_name"}

4、总结

综上，可以采用如下方式传递中间件参数到控制器是可行的

// 中间件设置值 设置为null，就算请求参数中携带了name, 也能取到null值$request->attributes->set('name', null);// 控制器取值$request->get('name')

看下get的实现代码

public function get(string $key, mixed $default = null): mixed    {        if ($this !== $result = $this->attributes->get($key, $this)) {            return $result;        }        if ($this->query->has($key)) {            return $this->query->all()[$key];        }        if ($this->request->has($key)) {            return $this->request->all()[$key];        }        return $default;}public function get(string $key, mixed $default = null): mixed{        return \array_key_exists($key, $this->parameters) ? $this->parameters[$key] : $default;}

array_key_exists 意味着，如果设置了值，就会直接返回，不再往下查找其他值

5、一种更为安全的做法

一种更为安全的做法，是建立一个枚举变量，来替代字符串变量

const key = '192b9bdd22ab9ed4d12e236c78afcb9a393ec15f71bbf5dc987d54727823bcbf'// 就算没有设置值，也不会错误的从请求参数中获取值$value = input->get(key)

利用python，可以很容易生成这种很长的数字
Python编程：使用os.urandom生成Flask的秘钥SECRET_KEY

来源地址：https://blog.csdn.net/mouday/article/details/127813981