laravel_基础_路由及CSRF防护等

【说明：本笔记参照laravel学院帖子进行整理】

1.laravel基本的路由种类很多，常用的有any、get、post。

get

Route::get('/hello',function(){    return "Hello Laravel[GET]!";});

post

Route::get('/testPost',function(){    $csrf_token = csrf_token();    $form = <<<FORM        <form action="/hello" method="POST">            <input type="hidden" name="_token" value="{$csrf_token}">            <input type="submit" value="Test"/>        </form>FORM;    return $form;});Route::post('/hello',function(){    return "Hello Laravel[POST]!";});

any

Route::any('/hello',function(){    return "Hello Laravel!";});

2.路由参数使用

必选参数

Route::get('/hello/{name}',function($name){    return "Hello {$name}!";});

多参数必须

Route::get('/hello/{name}/by/{user}',function($name,$user){    return "Hello {$name} by {$user}!";});

注意：必选参数在function里不用给默认值，但是访问地址必须按照必选 。

可选参数

Route::get('/hello/{name?}',function($name="Laravel"){    return "Hello {$name}!";});

注意：可选参数的用法在function里必须给一个默认值否则报错。

正则约束参数

Route::get('/hello/{name?}',function($name="Laravel"){    return "Hello {$name}!";})->where('name','[A-Za-z]+');

说明：如果路由参数不是大小写字母则报错路由不存在。

全局正则约束
可以在\app\Providers\RouteServiceProvider的boot方法中做如下定义：

public function boot(Router $router){    $router->pattern('name','[A-Za-z]+');    parent::boot($router);}

说明：这样配置后所有凡是带有{name}参数的路由，name参数都需要匹配必须是大小写字母。从而不用在每一个路由定义的时候都配置这个正则匹配了。

3.路由起别名

使用as关键字来给路由起别名

Route::get('/hello/qwe',['as'=>'h_qwe',function(){    return 'Hello qwe！';}]);Route::get('/hello',function(){   return redirect()->route('h_qwe');});

这样当访问’/hello’路由的时候就会跳转到’/hello/qwe’
还可以带参数

Route::get('/hello/qwe/{id}',['as'=>'h_qwe',function($id){    return 'Hello qwe！id: '.$id;}]);Route::get('/hello',function(){   return redirect()->route('h_qwe',123);});

4.路由分组

路由分组包括中间件、命名空间、子域名、路由前缀等。使用group关键字
中间件

php artisan make:middleware AgeMiddleware

这样会在/app/Http/Middleware目录下生成一个AgeMiddleware.php文件，打开该文件编辑AgeMiddleware类的handle方法如下：

    public function handle($request, Closure $next)    {        if($request->input('age')<18) {            return redirect()->route('refuse');        }        return $next($request);    }

然后我们打开/app/Http/Kernal.php文件，新增AgeMiddleware到Kernel的$routeMiddleware属性：

    protected $routeMiddleware = [        'auth' => \App\Http\Middleware\Authenticate::class,        'auth.basic' => \Illuminate\Auth\Middleware\AuthenticateWithBasicAuth::class,        'guest' => \App\Http\Middleware\RedirectIfAuthenticated::class,        'throttle' => \Illuminate\Routing\Middleware\ThrottleRequests::class,        'age' => \App\Http\Middleware\AgeMiddleware::class,    ];

在Route.php中

Route::group(['middleware'=>'age'],function(){    Route::get('/write/yellowPage',function(){        //使用Age中间件    });    Route::get('/update/yellowPage',function(){       //使用Age中间件    });});Route::get('/age/refuse',['as'=>'refuse',function(){    return "未成年人禁止入内！";}]);

这样在浏览器输入http://dev.mylaravel.com/write/yellowPage?age=12就会跳转到http://dev.mylaravel.com/age/refuse

命名空间
默认情况下，routes.php中的定义的控制器位于App\Http\Controllers命名空间下，所以如果要指定命名空间，只需指定App\Http\Controllers之后的部分即可：

Route::group(['namespace' => 'Test'], function(){    // 控制器在 "App\Http\Controllers\Test" 命名空间下    Route::group(['namespace' => 'DOCS'], function()    {        // 控制器在 "App\Http\Controllers\Test\DOCS" 命名空间下    });});

子域名
子域名通过关键字‘domain’这里省略。

路由前缀

Route::group(['prefix'=>'test'],function(){    Route::get('write',function(){        return "Write test";    });    Route::get('update',function(){        return "Update test";    });});

路由前缀带参数

Route::group(['prefix'=>'test/{version}'],function(){    Route::get('write',function($version){        return "Write test V: ".$version;    });    Route::get('update',function($version){        return "Update test V: ".$version;    });});

访问：http://dev.mylaravel.com/test/5.2/write

5.CSRF攻击

laravel 中提供一个全局函数 csrf_token() 获取 token，你只需要在试图文件里增加：

<input type="hidden" name="_token" value="<?php echo csrf_token(); ?>">

也可以直接使用全局帮助函数 csrf_field()，这个函数直接输出整个input。

{!! csrf_field() !!}

从CSRF验证中排除指定URL
也就是关闭个别的方法的csrf验证
从 app/Http/Middleware/VerifyCsrfToken.php 中间件中将要排除的请求URL添加到$except属性数组中：

        /**         * 指定从 CSRF 验证中排除的URL         *         * @var array         */        protected $except = [            'testCsrf'        ];

X-CSRF-Token及其使用
加入你的表单提交需要ajax请求怎么办？那么就需要这个方法了。
这个原理是将token设置到meta标签中。

<meta name="csrf-token" content="{{ csrf_token() }}">

然后在全局Ajax中使用这种方式设置X-CSRF-Token请求头并提交：
也就是在layout试图文件中的script代码部分添加以下代码即可。那么所有继承自layout文件的页面的ajax请求都会在这个设置的基础上进行请求。从而不用每个页面试图文件都写这个设置。当然你非要每个页面都要写也是可以的。呵呵~

$.ajaxSetup({    headers: {        'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content')    }});

Laravel的VerifyCsrfToken中间件会检查X-CSRF-TOKEN请求头，如果该值和Session中CSRF值相等则验证通过，否则不通过。

X-XSRF-Token及其使用
除此之外，Laravel还会将CSRF的值保存到名为XSRF-TOKEN的Cookie中，然后在VerifyCsrfToken中间件验证该值，当然，我们不需要手动做任何操作，一些JavaScript框架如Angular会自动帮我们实现。

laravel CSRF验证原理分析
1）首先Laravel开启Session时会生成一个token值并存放在Session中（Illuminate\Session\Store.php第90行start方法），对应源码如下：

public function start(){    $this->loadSession();    if (! $this->has('_token')) {        $this->regenerateToken();    }    return $this->started = true;}

2）然后重点分析VerifyCsrfToken中间件（Illuminate\Foundation\Http\Middleware\VerifyCsrfToken.php）的handle方法，该方法中先通过isReading方法判断请求方式，如果请求方法是HEAD、GET、OPTIONS其中一种，则不做CSRF验证；

3）再通过shouldPassThrough方法判断请求路由是否在$excpet属性数组中进行了排除，如果做了排除也不做验证；

4）最后通过tokensMatch方法判断请求参数中的CSRF TOKEN值和Session中的Token值是否相等，如果相等则通过验证，否则抛出TokenMismatchException异常。

对应源码如下：

    /**     * Handle an incoming request.     *     * @param  \Illuminate\Http\Request  $request     * @param  \Closure  $next     * @return mixed     *     * @throws \Illuminate\Session\TokenMismatchException     */    public function handle($request, Closure $next)    {        if (            $this->isReading($request) ||            $this->runningUnitTests() ||            $this->shouldPassThrough($request) ||            $this->tokensMatch($request)        ) {            return $this->addCookieToResponse($request, $next($request));        }        throw new TokenMismatchException;    }

注：tokensMatch方法首先从Request中获取_token参数值，如果请求中不包含该参数则获取X-CSRF-TOKEN请求头的值，如果该请求头也不存在则获取X-XSRF-TOKEN请求头的值，需要注意的是X-XSRF-TOKEN请求头的值需要调用Encrypter的decrypt方法进行解密。