Несогласованность сеанса в базе данных после входа в LoginController :: Authenticated ()?

Question

У меня SESSION_DRIVER установлено на базу данных . После входа в систему, когда я пытаюсь получить session()->getId() в методе LoginController::authenticated(), я, кажется, получаю идентификатор сеанса, который был до регенерации. Кажется, что база данных также содержит этот идентификатор сеанса.

Это вызывает проблемы, когда я пытаюсь регистрировать доступ к моему приложению. Я не могу обновить время выхода из системы по идентификатору сеанса, потому что, когда я регистрирую доступ в прослушивателе LogSuccessfulLogin, доступ регистрируется по идентификатору сеанса до регенерации, а при выходе из системы я получаю идентификатор сеанса после регенерации, для которого запись не не существует в таблице журналов доступа.

Более того, когда я пытаюсь получить $request->user()->sessions()->count() по методу LoginController::authenticated(), я всегда получаю activeSessions-1 в качестве счетчика. Например, я вхожу в систему на Chrome, я получаю счет как 0. Я одновременно вхожу в систему из FireFox и получаю счет как 1. Кажется, что сеанс вставлен в базу данных после аутентифицированного метода. Ниже приведен код для моего LoginController:

<?php

namespace App\Http\Controllers\Auth;

use App\Facades\Settings;
use App\Http\Controllers\Controller;
use App\Models\SamlTenant;
use App\Models\User;
use App\Providers\RouteServiceProvider;
use Authy\AuthyApi;
use Illuminate\Foundation\Auth\AuthenticatesUsers;
use Illuminate\Http\Request;
use Illuminate\Validation\ValidationException;

class LoginController extends Controller
{
    /*
    |--------------------------------------------------------------------------
    | Login Controller
    |--------------------------------------------------------------------------
    |
    | This controller handles authenticating users for the application and
    | redirecting them to your home screen. The controller uses a trait
    | to conveniently provide its functionality to your applications.
    |
    */

    use AuthenticatesUsers;

    /**
     * Where to redirect users after login.
     *
     * @var string
     */
    protected $redirectTo = RouteServiceProvider::HOME;

    protected $decayMinutes = 5;

    protected $authy;

    /**
     * Create a new controller instance.
     *
     * @return void
     */
    public function __construct()
    {
        $this->middleware('guest')->except('logout');

        $this->authy = new AuthyApi(config('auth.authy_key'));
    }

    /*
     * https://laravel.com/docs/6.x/authentication#authenticating-users
     */
    protected function credentials(Request $request)
    {
        return array_merge($request->only($this->username(), 'password'), ['status_id' => User::STATUS_ACTIVE]);
    }

    /**
     * @param Request $request
     * @return \Illuminate\Contracts\View\Factory|\Illuminate\Http\RedirectResponse|\Illuminate\Routing\Redirector|\Illuminate\View\View
     */
    public function showLoginForm(Request $request)
    {
        if(SamlTenant::isSamlConfigured() && $tenant = SamlTenant::getSamlTenant()) {
            return redirect($tenant->idp_login_url);
        }

        return $this->extLogin($request);
    }

    public function extLogin(Request $request)
    {
        return view('auth.login');
    }

    /**
     * @param Request $request
     * @return \Illuminate\Http\Response|void
     * @throws ValidationException
     */
    public function login(Request $request)
    {
        $this->validateLogin($request);

        // We can automatically throttle the login attempts for this application.
        // We'll key this by the username and the IP address of the client making these requests into this application.
        if ($this->hasTooManyLoginAttempts($request)) {
            $this->fireLockoutEvent($request);

            //return $this->sendLockoutResponse($request);
            $this->sendLockoutResponse($request);
        }

        if ($this->attemptLogin($request)) {
            return $this->sendLoginResponse($request);
        }

        // If the login attempt was unsuccessful we will increment the number of attempts
        // to login and redirect the user back to the login form. Of course, when this
        // user surpasses their maximum number of attempts they will get locked out.
        $this->incrementLoginAttempts($request);

        return $this->sendFailedLoginResponse($request);
    }

    protected function sendFailedLoginResponse(Request $request)
    {
        $message = trans('auth.failed');
        $user = User::where($this->username(), $request->{$this->username()})->first();

        if ($user && \Hash::check($request->password, $user->password)) {
            if ($user->status_id === User::STATUS_INACTIVE) {
                $message = trans('auth.account.inactive');
            } else if ($user->status_id === User::STATUS_PENDING) {
                $message = 'Account is pending.';
            } else if ($user->status_id === User::STATUS_LOCKED) {
                $message = 'Account is locked.';
            }
        }

        // other  user validation checks

        throw ValidationException::withMessages([
            $this->username() => [$message]
        ]);
    }

    /**
     * @param Request $request
     * @param User $user
     * @return \Illuminate\Http\RedirectResponse|\Illuminate\Routing\Redirector
     */
    protected function authenticated(Request $request, User $user)
    {
        // session id and count inconsistent
    }

    /**
     * @param Request $request
     * @return \Illuminate\Contracts\View\Factory|\Illuminate\Http\RedirectResponse|\Illuminate\Routing\Redirector|\Illuminate\View\View
     * @throws \Exception
     */
    public function app(Request $request)
    {
        if (\Auth::check()) {
            return redirect()->intended(RouteServiceProvider::HOME);
        }

        return $this->showLoginForm($request);
    }

    /**
     * @param Request $request
     * @return \Illuminate\Http\RedirectResponse|\Illuminate\Routing\Redirector
     * @throws \Exception
     */
    public function logout(Request $request)
    {
        $isLoginTypeSso = $request->user() !== null
            ? $request->user()->isLoginTypeSso()
            : false;

        $this->guard()->logout();
        $request->session()->invalidate();
        $request->session()->regenerateToken();

        if ($isLoginTypeSso && Settings::isSsoEnabled()) {

            if (($tenant = SamlTenant::getSamlTenant()) !== null) {
                //return redirect(url('/sso/' . $tenant->uuid . '/logout'));
                return redirect(url('/auth/sso-logout'));
            }

            throw new \Exception('SAML tenant not setup');
        }

        return $this->loggedOut($request) ?: redirect('/');
    }

    public function ssoLogout()
    {
        return view('auth.logout');
    }
}

Я что-то упускаю или это должно быть намеренное поведение? Заранее спасибо.

Answer 1

Я нашел проблему. Сохранение сеанса написано в промежуточном программном обеспечении StartSession и запускается только при каждом запросе. В этом случае мы не перенаправляем после $request->session()->regenerate();, а вызываем метод ->authenticated().

Сессия не сохраняется из-за промежуточного программного обеспечения еще не запускается, отсюда несоответствие идентификатора сеанса. Счетчик сеансов пользователя также непоследователен из-за этого, поскольку последний сеанс еще не сохранен, счет всегда будет возвращаться как actualCount - 1.

Временным решением является переопределение метода ->sendLoginResponse($request) и сохранение вручную сеанс после регенерации так:

    protected function sendLoginResponse(Request $request)
    {
        $request->session()->regenerate();
        $request->session()->save(); // this solves the issue

        $this->clearLoginAttempts($request);

        return $this->authenticated($request, $this->guard()->user())
            ?: redirect()->intended($this->redirectPath());
    }