HTTP 路由
最后更新于:2022-04-01 04:19:55
[TOC]
## 1、基本路由
大部分路由都定义在`bootstrap/app.php`文件载入的`app/Http/routes.php`中。
最基本的[Lumen](http://laravelacademy.org/tags/lumen "View all posts in Lumen")路由接收一个URI和一个闭包:
~~~
$app->get('/', function () {
return 'Hello World';
});
$app->post('foo/bar', function () {
return 'Hello World';
});
$app->put('foo/bar', function () {
//
});
$app->delete('foo/bar', function () {
//
});
~~~
**生成指向路由对应的[URL](http://laravelacademy.org/tags/url "View all posts in URL")**
可以使用帮助函数`url`来生成路由对应的URL:
~~~
$url = url('foo');
~~~
## 2、路由参数
### 2.1 必选参数
有时我们需要在路由中捕获URI片段,比如,如果想要从URL中捕获用户ID,可以通过如下方式定义路由参数:
~~~
$app->get('user/{id}', function ($id) {
return 'User '.$id;
});
~~~
可以按需要定义在路由中定义多个路由参数:
~~~
$app->get('posts/{post}/comments/{comment}', function ($postId, $commentId) {
//
});
~~~
路由参数总是通过花括号进行包裹,参数在路由被执行时会被传递到路由的闭包。
> 注意:路由参数不能包含’-‘字符,需要的话可以使用_替代。
### 2.2 正则约束
可以通过在路由中定义定义正则表达式来约束路由参数格式:
~~~
$app->get('user/{name:[A-Za-z]+}', function ($name) {
//
});
~~~
## 3、命名路由
命名路由使生成URL或者重定向到指定路由变得很方便,在定义路由时指定路由名称,然后使用数组键`as`指定路由别名:
~~~
$app->get('user/profile', ['as' => 'profile', function () {
//
}]);
~~~
还可以为控制器动作指定路由名称:
~~~
$app->get('user/profile', [
'as' => 'profile', 'uses' => 'UserController@showProfile'
]);
~~~
**生成指向命名路由的URL**
一旦你为给定路由分配了名字,通过route函数生成URL时就可以使用路由名字:
~~~
$url = route('profile');
$redirect = redirect()->route('profile');
~~~
如果路由定义了参数,可以将路由参数作为第二个参数传递给`route`函数。给定的路由参数将会自动插入URL中:
~~~
$app->get('user/{id}/profile', ['as' => 'profile', function ($id) {
//
}]);
$url = route('profile', ['id' => 1]);
~~~
## 4、路由分组
路由分组允许我们在多个路由中共享路由属性,比如[中间件](http://laravelacademy.org/tags/%e4%b8%ad%e9%97%b4%e4%bb%b6 "View all posts in 中间件")和[命名空间](http://laravelacademy.org/tags/%e5%91%bd%e5%90%8d%e7%a9%ba%e9%97%b4 "View all posts in 命名空间")等,这样的话一大波共享属性的路由就不必再各自定义这些属性。共享属性以数组的形式被作为第一个参数传递到`$app->group`方法中。
想要了解更多路由分组,我们希望通过几个简单的应用实例来展示其特性。
### 4.1 中间件
要分配中间件给分组中的所有路由,可以在分组属性数组中使用`middleware`键。中间件将会按照数组中定义的顺序依次执行:
~~~
$app->group(['middleware' => 'auth'], function () {
$app->get('/', function () {
// 使用 Auth 中间件
});
$app->get('user/profile', function () {
// 使用 Auth 中间件
});
});
~~~
### 4.2 命名空间
另一个通用的例子是路由分组分配同一个PHP命名空间给多个控制器,可以在分组属性数组中使用`namespace`参数来指定分组中控制器的命名空间:
~~~
$app->group(['namespace' => 'Admin'], function(){
// 控制器在 "App\Http\Controllers\Admin" 命名空间下
$app->group(['namespace' => 'User'], function()
{
// 控制器在 "App\Http\Controllers\Admin\User" 命名空间下
});
});
~~~
默认情况下,`RouteServiceProvider`包含`routes.php`并指定其所在命名空间为App\Http\Controllers,因此,我们只需要指定`App\Http\Controllers`之后的相对命名空间即可。
### 4.3 路由前缀
属性`prefix`可以用来为分组中每个给定URI添加一个前缀,比如,你想要为所有路由URI前面添加前缀`admin`:
~~~
$app->group(['prefix' => 'admin'], function () {
$app->get('users', function () {
// 匹配 "/admin/users" URL
});
});
~~~
你还可以使用`prefix`参数为分组路由指定公共参数:
~~~
$app->group(['prefix' => 'accounts/{account_id}'], function () {
$app->get('detail', function ($account_id) {
// 匹配 accounts/{account_id}/detail URL
});
});
~~~
## 5、CSRF攻击及保护
> 注意:使用Lumen的该特性之前必须开启session。
### 5.1 简介
Lumen使得防止应用遭到[跨站请求伪造攻击](http://en.wikipedia.org/wiki/Cross-site_request_forgery)变得简单。跨站请求伪造是一种通过伪装授权用户的请求来利用授信网站的恶意漏洞。
Lumen自动为每一个被应用管理的有效用户Session生成一个CSRF“令牌”,该令牌用于验证授权用户和发起请求者是否是同一个人。想要生成包含CSRF令牌的隐藏输入字段,可以使用帮助函数`csrf_field`来实现:
~~~
<?php echo csrf_field(); ?>
~~~
帮助函数`csrf_field`生成如下HTML:
~~~
<input type="hidden" name="_token" value="<?php echo csrf_token(); ?>">
~~~
当然还可以使用[Blade模板引擎](http://laravelacademy.org/post/79.html)提供的方式:
~~~
{!! csrf_field() !!}
~~~
你不需要了解在POST、PUT或者DELETE请求时CSRF令牌是如何进行验证的,[HTTP](http://laravelacademy.org/tags/http "View all posts in HTTP")中间件`VerifyCsrfToken`会为我们做这项工作:将请求中输入的`token`值和session中的存储的作对比。
### 5.2 X-CSRF-Token
除了将CSRF令牌作为一个POST参数进行检查,Lumen的`VerifyCsrfToken`中间件还会检查`X-CSRF-TOKEN`请求头,你可以将令牌保存在”meta”标签中:
~~~
<meta name="csrf-token" content="{{ csrf_token() }}">
~~~
创建完这个meta标签后,就可以在js库如jQuery中添加该令牌到所有请求头,这为基于AJAX的应用提供了简单、方便的方式来避免CSRF攻击:
~~~
$.ajaxSetup({
headers: {
'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content')
}
});
~~~
### 5.3 X-XSRF-Token
Lumen还将CSRF令牌保存到了名为`XSRF-TOKEN`的cookie中,你可以使用该cookie值来设置`X-XSRF-TOKEN`请求头。一些JavaScript框架,比如Angular,将会为你自动进行设置,基本上你不太会手动设置这个值。
## 6、表单方法伪造
HTML表单不支持`PUT`、`PATCH`或者`DELETE`动作,因此,当定义被HTML表单调用的`PUT`、`PATCH`或`DELETE`路由时,需要添加一个隐藏的`_method`字段到给表单中,其值被用作HTTP请求方法名:
~~~
<form action="/foo/bar" method="POST">
<input type="hidden" name="_method" value="PUT">
<input type="hidden" name="_token" value="{{ csrf_token() }}">
</form>
~~~
## 7、抛出404错误
有两者方法手动从路由触发404错误。
第一种,使用帮助函数`abort`,`abort`函数会抛出一个指定状态码的`Symfony\Component\HttpFoundation\Exception\HttpException`:
~~~
abort(404);
~~~
第二种,手动抛出`Symfony\Component\HttpKernel\Exception\NotFoundHttpException`.的实例。
更多关于处理404异常的信息以及如何自定义视图显示这些错误信息,请查看[错误文档](http://laravelacademy.org/post/465.html)一节。