У меня SESSION_DRIVER установлено на базу данных . После входа в систему, когда я пытаюсь получить session()->getId()
в методе LoginController::authenticated()
, я, кажется, получаю идентификатор сеанса, который был до регенерации. Кажется, что база данных также содержит этот идентификатор сеанса.
Это вызывает проблемы, когда я пытаюсь регистрировать доступ к моему приложению. Я не могу обновить время выхода из системы по идентификатору сеанса, потому что, когда я регистрирую доступ в прослушивателе LogSuccessfulLogin
, доступ регистрируется по идентификатору сеанса до регенерации, а при выходе из системы я получаю идентификатор сеанса после регенерации, для которого запись не не существует в таблице журналов доступа.
Более того, когда я пытаюсь получить $request->user()->sessions()->count()
по методу LoginController::authenticated()
, я всегда получаю activeSessions-1
в качестве счетчика. Например, я вхожу в систему на Chrome, я получаю счет как 0. Я одновременно вхожу в систему из FireFox и получаю счет как 1. Кажется, что сеанс вставлен в базу данных после аутентифицированного метода. Ниже приведен код для моего LoginController
:
<?php
namespace App\Http\Controllers\Auth;
use App\Facades\Settings;
use App\Http\Controllers\Controller;
use App\Models\SamlTenant;
use App\Models\User;
use App\Providers\RouteServiceProvider;
use Authy\AuthyApi;
use Illuminate\Foundation\Auth\AuthenticatesUsers;
use Illuminate\Http\Request;
use Illuminate\Validation\ValidationException;
class LoginController extends Controller
{
/*
|--------------------------------------------------------------------------
| Login Controller
|--------------------------------------------------------------------------
|
| This controller handles authenticating users for the application and
| redirecting them to your home screen. The controller uses a trait
| to conveniently provide its functionality to your applications.
|
*/
use AuthenticatesUsers;
/**
* Where to redirect users after login.
*
* @var string
*/
protected $redirectTo = RouteServiceProvider::HOME;
protected $decayMinutes = 5;
protected $authy;
/**
* Create a new controller instance.
*
* @return void
*/
public function __construct()
{
$this->middleware('guest')->except('logout');
$this->authy = new AuthyApi(config('auth.authy_key'));
}
/*
* https://laravel.com/docs/6.x/authentication#authenticating-users
*/
protected function credentials(Request $request)
{
return array_merge($request->only($this->username(), 'password'), ['status_id' => User::STATUS_ACTIVE]);
}
/**
* @param Request $request
* @return \Illuminate\Contracts\View\Factory|\Illuminate\Http\RedirectResponse|\Illuminate\Routing\Redirector|\Illuminate\View\View
*/
public function showLoginForm(Request $request)
{
if(SamlTenant::isSamlConfigured() && $tenant = SamlTenant::getSamlTenant()) {
return redirect($tenant->idp_login_url);
}
return $this->extLogin($request);
}
public function extLogin(Request $request)
{
return view('auth.login');
}
/**
* @param Request $request
* @return \Illuminate\Http\Response|void
* @throws ValidationException
*/
public function login(Request $request)
{
$this->validateLogin($request);
// We can automatically throttle the login attempts for this application.
// We'll key this by the username and the IP address of the client making these requests into this application.
if ($this->hasTooManyLoginAttempts($request)) {
$this->fireLockoutEvent($request);
//return $this->sendLockoutResponse($request);
$this->sendLockoutResponse($request);
}
if ($this->attemptLogin($request)) {
return $this->sendLoginResponse($request);
}
// If the login attempt was unsuccessful we will increment the number of attempts
// to login and redirect the user back to the login form. Of course, when this
// user surpasses their maximum number of attempts they will get locked out.
$this->incrementLoginAttempts($request);
return $this->sendFailedLoginResponse($request);
}
protected function sendFailedLoginResponse(Request $request)
{
$message = trans('auth.failed');
$user = User::where($this->username(), $request->{$this->username()})->first();
if ($user && \Hash::check($request->password, $user->password)) {
if ($user->status_id === User::STATUS_INACTIVE) {
$message = trans('auth.account.inactive');
} else if ($user->status_id === User::STATUS_PENDING) {
$message = 'Account is pending.';
} else if ($user->status_id === User::STATUS_LOCKED) {
$message = 'Account is locked.';
}
}
// other user validation checks
throw ValidationException::withMessages([
$this->username() => [$message]
]);
}
/**
* @param Request $request
* @param User $user
* @return \Illuminate\Http\RedirectResponse|\Illuminate\Routing\Redirector
*/
protected function authenticated(Request $request, User $user)
{
// session id and count inconsistent
}
/**
* @param Request $request
* @return \Illuminate\Contracts\View\Factory|\Illuminate\Http\RedirectResponse|\Illuminate\Routing\Redirector|\Illuminate\View\View
* @throws \Exception
*/
public function app(Request $request)
{
if (\Auth::check()) {
return redirect()->intended(RouteServiceProvider::HOME);
}
return $this->showLoginForm($request);
}
/**
* @param Request $request
* @return \Illuminate\Http\RedirectResponse|\Illuminate\Routing\Redirector
* @throws \Exception
*/
public function logout(Request $request)
{
$isLoginTypeSso = $request->user() !== null
? $request->user()->isLoginTypeSso()
: false;
$this->guard()->logout();
$request->session()->invalidate();
$request->session()->regenerateToken();
if ($isLoginTypeSso && Settings::isSsoEnabled()) {
if (($tenant = SamlTenant::getSamlTenant()) !== null) {
//return redirect(url('/sso/' . $tenant->uuid . '/logout'));
return redirect(url('/auth/sso-logout'));
}
throw new \Exception('SAML tenant not setup');
}
return $this->loggedOut($request) ?: redirect('/');
}
public function ssoLogout()
{
return view('auth.logout');
}
}
Я что-то упускаю или это должно быть намеренное поведение? Заранее спасибо.