保护 show() 方法免受用户访问其他用户消息的最佳方法

【问题标题】:Best way of protecting the show() method against users accessing other users messages保护 show() 方法免受用户访问其他用户消息的最佳方法
【发布时间】:2015-08-13 13:59:30
【问题描述】:

好的,所以我有一个基本的消息系统,我已经建立了一个关系,所以我可以调用$user->messages 来检索一组用户收件箱消息。我还有一个非常简单的 show 方法,目前只抓取带有传递给 show() 函数的 id 的消息。

问题是保护该 messages/2 URL 的最佳方法是什么,这样用户就不能只在 URL 中键入任何数字并访问其他用户的消息。

我是否应该使用路由过滤器并基本上运行另一个查询以确保用户可以访问消息 ID,或者我可以对关系做些什么,也许检查消息数组的 ID,如果它存在则用户必须有访问权限? 

public function up()
    {
        Schema::create('messages', function(Blueprint $table) {
            $table->increments('id');
            $table->mediumText('subject');
            $table->text('message');
            $table->boolean('draft');
            $table->integer('sender_id')->unsigned();
            $table->softDeletes();
            $table->timestamps();

            $table->foreign('sender_id')->references('id')->on('users')->onUpdate('cascade');
        });

        Schema::create('message_assets', function(Blueprint $table) {
            $table->increments('id');
            $table->integer('message_id')->unsigned();
            $table->string('filename', 255);
            $table->softDeletes();

            $table->foreign('message_id')->references('id')->on('messages')->onUpdate('cascade');
        });

        Schema::create('message_users', function(Blueprint $table) {
            $table->increments('id');
            $table->integer('message_id')->unsigned();
            $table->integer('user_id')->unsigned();
            $table->integer('read')->default(0);
            $table->string('folder', 255)->nullable();
            $table->softDeletes();

            $table->foreign('message_id')->references('id')->on('messages')->onUpdate('cascade');
            $table->foreign('user_id')->references('id')->on('users')->onUpdate('cascade');
        });
    }

【问题讨论】:

    标签: laravel laravel-4 routing models relationships


    【解决方案1】:

    在最简单的形式中,在您的 MessagesController 中的 show 方法中,您可以向查询添加一个附加参数并获取记录,其中 message_id = 来自 url 的参数,并且该消息上的 user_id 是经过身份验证的用户的 ID。 .. 做类似的事情

    $message = App\Message::where('id', '=', $id)
                      ->where('user_id', '=', Auth::user()->id)
                      ->first();

    如果您正在进行更高级的设计并拥有 MessageRepository,则可以在此处提取此逻辑,因此您可以在控制器中执行类似的操作

    $this->repository->getById($id);

    在消息存储库中,getById() 方法将使用 eloquent 模型执行与上述代码示例类似的操作。这种方法可以让控制器保持干净,并且如果需要,可以在应用程序的其他地方重新使用逻辑

    添加到使用上面指定的数据透视表。这仅适用于收件箱中有消息的用户:

    DB::table('messages')
    ->join('message_users', 'messages.id', '=', 'message_users.message_id')
    ->where('message_users.message_id', $id)
    ->where('message_users.user_id', $userId)
    ->where('message_users.deleted_at', null)
    ->select('messages.*')
    ->first();

    【讨论】:

    • 太棒了,我确实忘记提及的一件事是我正在使用数据透视表 message_users 来存储,该查询看起来如何?
    • @SeriousJelly 所以你的消息实体没有user_id?每条消息是否附加了多个 user_id?发送者和接收者?我认为 id 需要查看架构以更好地帮助查询
    • 酷,我会在回到办公桌后发布方案,但 sender_id 与消息一起存储,然后所有接收者(可以是多个)都存储在 message_users 数据透视表中。我希望这会有所帮助...
    • 这使它更复杂一些。您最终可能会在 eloquent 中使用子查询,或者使用查询构建器执行类似 SELECT message_user JOIN message ON message_id = message_id WHERE message_id = $id AND ( (user_id = sender_id) OR (reciever_id = user_id) ) ...psuedo 之类的操作代码......那不是可运行的查询......但它说明了它应该如何工作。
    • 将我的架构添加到问题中,以防出现其他问题,否则我将尝试您的查询构建器建议,看看会发生什么:) 感谢您的帮助。
    猜你喜欢
    • 2011-03-11
    • 2020-05-02
    • 1970-01-01
    • 2020-07-26
    • 1970-01-01
    • 2011-08-14
    • 1970-01-01
    • 1970-01-01
    • 2014-11-07
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode