在我的系统中,使用Laravel 5.6,我们发送一封带有邀请链接的电子邮件(使用签名的URL),用户单击该链接,填写表格并将其提交给服务器。此时,用户已保存。
签名的URL已经包含了诸如电子邮件和perfil_id(例如role_id)之类的数据,这些数据将在用户提交表单时分配。
我应该使用$ request-> hasValidSignature()方法吗?因为如果我等待用户填写表单并提交,则此处调用的方法将为hasValidSignature()提供false。如果我在传递视图供用户查看表单时进行验证,则验证将通过,但在发送表单之前,用户将可以篡改数据。
控制器内的签名URL
$url = URL::temporarySignedRoute('completar', now()->addHours(5), [
'email' => $request->get('email'),
'perfil_id' => $request->get('perfil_id'),
'empresa_id' => auth()->user()->empresa_id,
]);
Mail::to($request->get('email'))->send(new UserRegistrationInvite($url));
使用电子邮件上的链接后用户必须在视图内填写的表格
<form action="{{route("aceitar")}}" method="post">
<input type="hidden" name="email" value="{{$request['email']}}">
<input type="hidden" name="perfil_id" value="{{$request['perfil_id']}}">
<input type="hidden" name="empresa_id" value="{{$request['empresa_id']}}">
<input type="hidden" name="signature" value="{{$request['signature']}}">
<br>
<label for="name">Digite seu nome: </label>
<input type="text" id="Nome" name="name" placeholder="Nome">
<br>
<label for="password">Digite sua senha: </label>
<input type="password" name="password" id="password">
<br>
<label for="password_confirmation">confirme sua senha: </label>
<input type="password" name="password_confirmation" id="password_confirmation">
<hr>
<button type="submit" id="convite">Enviar</button>
</form>
用户提交表单时调用的功能。验证将失败
public function aceitar(Request $request) {
// verifica se a signed URL é válida
if (!$request->hasValidSignature()) {
abort(response()->json('URL não válida - aceitar', 403));
}
// ao submeter o formulario anterior, faz validação
$validator = Validator::make($request->all(), [
'name' => 'required',
'perfil_id' => 'required',
'empresa_id' => 'required',
'email' => 'required|email',
'password' => 'required|confirmed'
]);
// se validação falhar exibe erros na tela
if ($validator->fails()) {
return $validator->errors();
} else {
// se passar na validação usuário é criado com perfil e permissões ja relacionadas
$usuario = User::create([
'email' => $request->email,
'name' => $request->name,
'password' => bcrypt($request->password),
'empresa_id' => $request->empresa_id,
]);
$usuario->perfil()->attach($request->perfil_id);
return 'Usuário criado com sucesso';
}
感谢您的时间。
签名仅在用户访问的第一个URL:'completar'上有效。
[他们张贴表格时,相同的签名在'aceitar'路线上不再有效。
您甚至可以在向表单显示表单并确认其可信之前,可以对其进行验证。
如果您要添加其他验证步骤,也可以在表单中为发布路线生成另一个临时签名的URL。