如何在Laravel 5中禁用注册自动登录？

Question

我是Laravel的新手，但我爱上了这个框架，并决定将它用于我的项目。

我有一个字段active，默认情况下，我已经将它设置为0。在Attempt()方法中，我设置了$credentials['active'] = 1。当我再次注销和登录时，这个操作很好。

但是，当我注册一个用户时，它会自动登录用户，而不检查active字段。

Answer 1

我假设您在控制器中使用了AuthenticatesAndRegistersUsers特性。

注册由该特征中的postRegister()方法进行，该方法在创建新用户后调用login()方法。

您可以在控制器中重写此方法，并且只有当login()字段为true时才调用true方法。因此，您的postRegister()方法将类似于：

public function postRegister(Request $request)
{
    $validator = $this->registrar->validator($request->all());

    if ($validator->fails())
    {
        $this->throwValidationException(
            $request, $validator
        );
    }

    $user = $this->registrar->create($request->all());

    if ($request->get('active')) {
        $this->auth->login($user);
    }

    return redirect($this->redirectPath());
}

Answer 2

在registersUsers.php中，替换行：

Auth::guard($this->getGuard())->login($this->create($request->all()));

有以下几点：

$this->create($request->all());

这对我有用，我用的是Laravel 5.2

Answer 3

我将避免将active字段添加到凭据--这是一个授权问题，而不是身份验证问题。

为此，我将使用中间件来检查登录用户是活动的还是非活动的。在5.3中，中间件将如下所示：

<?php

namespace App\Http\Middleware;

use Closure;
use Illuminate\Support\Facades\Auth;

class RedirectIfInactive
{
    /**
     * Handle an incoming request.
     *
     * @param  \Illuminate\Http\Request  $request
     * @param  \Closure  $next
     * @return mixed
     */
    public function handle($request, Closure $next)
    {
        if ( $user = Auth::guard('web')->user() ) {
            if ( ! $user->active )
                return redirect(route('account_inactive'));
        }

        return $next($request);
    }
}

然后，这个中间件必须在Kernel.php中注册。

protected $routeMiddleware = [
    'auth' => \Illuminate\Auth\Middleware\Authenticate::class,
    'auth.basic' => \Illuminate\Auth\Middleware\AuthenticateWithBasicAuth::class,
    'bindings' => \Illuminate\Routing\Middleware\SubstituteBindings::class,
    'can' => \Illuminate\Auth\Middleware\Authorize::class,
    'guest' => \App\Http\Middleware\RedirectIfAuthenticated::class,
    'throttle' => \Illuminate\Routing\Middleware\ThrottleRequests::class,
    'inactive' => \App\Http\Middleware\RedirectIfInactive::class, 
];

最后，我们用它保护我们所有的路线：

Route::get('inactive', ['as' => 'account_inactive', function () {
    return view('inactive');
}]);

Route::group(['prefix' => 'admin', 'namespace' => 'Admin', 'middleware' => 'inactive'], function () {
    Route::get('/', ['as' => 'admin.home', 'uses' => 'AdminController@index']);
});

当然，这种方法的优点是，我们可以显示比一般的“这些凭据与我们的记录不匹配”更相关的错误信息。这样用户就会知道这不是他们的错，他们不能登录。

无论如何，通过接受答案中的方法，当用户成功地重置他们的密码时，确保您已经完成了同样的操作，因为他们也是自动登录的。