如何使用Dancer2 :: Plugin :: Auth :: Extensible处理锁定/禁用的用户帐户？

Question

我目前正在将CGI应用程序迁移到Dancer2。我以前使用了使用MySQL的“手工制作”身份验证机制，并使用了属性为email,password和state的用户表。 state表示账户是active还是locked。 locked表示帐户被禁用（逻辑删除）。

我也有表roles和user_roles来实现我的两个角色：管理员和用户。

一切工作就像一个魅力，但有一个例外：

用我的旧的“手工制作”的机制，我能够锁用户，即逻辑删除而不从数据库中删除它们。只有当电子邮件和hash_of（密码）匹配和帐户未被锁定时，登录才会成功。

如何使用Dancer2::Plugin::Auth::Extensible和Dancer2::Plugin::Auth::Extensible::Provider::Database来实现？

我希望钩after_authenticate_user可以返回true或false覆盖的authenticate_user的结果，但事实并非如此。至少，它没有记录。

我想到的一件事是有一个额外的角色active，然后 - 对于每个路线 - require_role active而不是只有require_login。

所以我的问题是：我如何才能使Dancer2::Plugin::Auth::Extensible只考虑active用户？

Answer 1

Borodin suggested创建视图并将其用作用户表。我已经做了一些测试，可以说这确实是实现这一点的最简单方法。

警告：由于视图的性质，这使得应用程序无法修改或添加用户！

请考虑以下Dancer2申请。我从dancer2创建脚本开始。

$ dancer2 gen -a Foo 
$ cd Foo 

我创建了以下简单的sqlite数据库。

$ echo " 
CREATE TABLE users (
    id  INTEGER  PRIMARY KEY AUTOINCREMENT, 
    username VARCHAR(32) NOT NULL UNIQUE, 
    password VARCHAR(40) NOT NULL, 
    disabled TIMESTAMP NULL 
); 

CREATE VIEW active_users (id, username, password) AS 
    SELECT id, username, password FROM users WHERE disabled IS NULL; 

INSERT INTO users (username, password, disabled) 
VALUES ('foo', 'test', null), 
     ('bar', 'test', '2017-10-01 10:10:10'); 
" | sqlite3 foo.sqlite 

只有一个users表由插件建议的默认列，加上列disabled，其可以是或NULL一个时间戳。我认为用禁用来说明比用有效更容易说明。我想对lib/Foo.pm做以下修改。所有这些基本上来自Dancer2::Plugin::Auth::Extensible和Dancer2::Plugin::Auth::Extensible::Provider::Database的文档。

package Foo; 
use Dancer2; 
use Dancer2::Plugin::Database; 
use Dancer2::Plugin::Auth::Extensible; 

our $VERSION = '0.1'; 

get '/' => sub { 
    template 'index' => { 'title' => 'Foo' }; 
}; 

get '/users' => require_login sub { 
    my $user = logged_in_user; 
    return "Hi there, $user->{username}"; 
}; 

true; 

接下来，插件需要进入配置。编辑config.yml并用此替换它。

appname: "Foo" 
layout: "main" 
charset: "UTF-8" 
template: "simple" 
engines: 
    session: 
    Simple: 
     cookie_name: testapp.session 

# this part is interesting 
plugins: 
    Auth::Extensible: 
     realms: 
      users: 
       provider: 'Database' 

############### here we set the view 
       users_table: 'active_users' 
    Database: 
     driver: 'SQLite' 
     database: 'foo.sqlite' 
     on_connect_do: ['PRAGMA foreign_keys = ON'] 
     dbi_params: 
      PrintError: 0 
      RaiseError: 1 

现在我们都准备尝试。

$ plackup bin/app.psgi 
HTTP::Server::PSGI: Accepting connections at http://0:5000/ 

在您的浏览器上访问http://localhost:5000/users。你会看到默认的登录表单。

输入foo和test。这应该工作，你应该看到/users路线。 （或者不是，就像我的情况那样，重定向似乎被打破了......）。

现在去http://localhost:5000/logout摆脱Foo的饼干和开放http://localhost:5000/users一次。这次输入bar和test。

你会看到登录不起作用。

要反测试，更换config.yml的users_table并重新启动应用程序。

# config.yml 
       users_table: 'users' 

现在用户foo将能够登录。因为数据库处理所有的逻辑（并且很可能已经缓存了它），所以这种方法不仅易于实现，而且也应该是具有最高性能的方式。

您的应用程序，特别是身份验证插件，也不需要了解活跃或禁用领域都存在。他们不需要关心。东西只会工作。

Answer 2

您可以继承Dancer2::Plugin::Auth::Extensible::Provider::Database并包装get_user_details方法来检查用户是否处于活动状态。

考虑我使用的相同的应用程序in my other answer。添加以下课程。

package Provider::Database::ActiveOnly; 

use Moo; 
extends 'Dancer2::Plugin::Auth::Extensible::Provider::Database'; 

around 'get_user_details' => sub { 
    my $orig = shift; 
    my $self = shift; 

    # do nothing if we there was no user 
    my $user = $self->$orig(@_) or return; 

    # do nothing if the user is disabled 
    return if $user->{disabled}; 

    return $user; 
}; 

1; 

代码很简单。用户查看后，我们有用户数据，所以我们可以检查disabled列。如果有任何内容，用户被禁用，我们中止。

您还需要对config.yml进行以下更改。

# config.yml 
plugins: 
    Auth::Extensible: 
     realms: 
      users: 
       provider: 'Provider::Database::ActiveOnly' 
       users_table: 'users' 

现在应用程序的行为应该与其他答案完全相同。

---

要理解为什么这个工作，我们需要看看来源。认证发生在authenticate_user。起初我认为这应该被替换，但是这个解决方案更聪明，因为我们只需要获取一次用户数据。

该authenticate_user方法fetches the user data与the get_user_details method，所以我们可以在那里挂钩。我们的around wrapper将透明地注入用户活跃性的检查，而其余的代码甚至不知道有什么区别。

非活动用户不会出现在与Plugin :: Auth :: Extensible相关的任何交互中。