Laravel 5.6用户提交表单后,签名URL无效

问题描述 投票:0回答:1

在我的系统中,使用Laravel 5.6,我们发送一封带有邀请链接的电子邮件(使用签名的URL),用户单击该链接,填写表格并将其提交给服务器。此时,用户已保存。

签名的URL已经包含了诸如电子邮件和perfil_id(例如role_id)之类的数据,这些数据将在用户提交表单时分配。

我应该使用$ request-> hasValidSignature()方法吗?因为如果我等待用户填写表单并提交,则此处调用的方法将为hasValidSignature()提供false。如果我在传递视图供用户查看表单时进行验证,则验证将通过,但在发送表单之前,用户将可以篡改数据。

控制器内的签名URL

$url = URL::temporarySignedRoute('completar', now()->addHours(5), [
            'email' => $request->get('email'),
            'perfil_id' => $request->get('perfil_id'),
            'empresa_id' => auth()->user()->empresa_id,
        ]);


    Mail::to($request->get('email'))->send(new UserRegistrationInvite($url));

使用电子邮件上的链接后用户必须在视图内填写的表格

<form action="{{route("aceitar")}}" method="post">
            <input type="hidden" name="email" value="{{$request['email']}}">
            <input type="hidden" name="perfil_id" value="{{$request['perfil_id']}}">
            <input type="hidden" name="empresa_id" value="{{$request['empresa_id']}}">
            <input type="hidden" name="signature" value="{{$request['signature']}}">
            <br>
            <label for="name">Digite seu nome: </label>
            <input type="text" id="Nome" name="name" placeholder="Nome">
            <br>
            <label for="password">Digite sua senha: </label>
            <input type="password" name="password" id="password">
            <br>
            <label for="password_confirmation">confirme sua senha: </label>
            <input type="password" name="password_confirmation" id="password_confirmation">
            <hr>
            <button type="submit" id="convite">Enviar</button>
        </form>

用户提交表单时调用的功能。验证将失败

public function aceitar(Request $request) {
    // verifica se a signed URL é válida
    if (!$request->hasValidSignature()) {
        abort(response()->json('URL não válida - aceitar', 403));
    }

    // ao submeter o formulario anterior, faz validação
    $validator = Validator::make($request->all(), [
        'name' => 'required',
        'perfil_id' => 'required',
        'empresa_id' => 'required',
        'email' => 'required|email',
        'password' => 'required|confirmed'
    ]);

    // se validação falhar exibe erros na tela
    if ($validator->fails()) {
        return $validator->errors();
    } else {
        // se passar na validação usuário é criado com perfil e permissões ja relacionadas
        $usuario = User::create([
                                    'email' => $request->email,
                                    'name' => $request->name,
                                    'password' => bcrypt($request->password),
                                    'empresa_id' => $request->empresa_id,
                                ]);
        $usuario->perfil()->attach($request->perfil_id);

        return 'Usuário criado com sucesso';
    }

感谢您的时间。

laravel url signed
1个回答
0
投票

签名仅在用户访问的第一个URL:'completar'上有效。

[他们张贴表格时,相同的签名在'aceitar'路线上不再有效。

您甚至可以在向表单显示表单并确认其可信之前,可以对其进行验证。

如果您要添加其他验证步骤,也可以在表单中为发布路线生成另一个临时签名的URL。

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.