适用于Android应用的Laravel RESTful API

Question

我正在使用Laravel 5 Framework开发Android应用和RESTful API。 我遇到了登录活动的问题：流程是用户询问第8个字符代码，服务器网络向他发送短信。然后用户可以使用此代码进行登录，如密码。

这是要求代码的代码：

private void askCode(String mobile) {
    GsonRequest<String> jsObjRequest = new GsonRequest<String>(
            Request.Method.GET,
            WebAPIRoute.authGetCode + "/" + mobile,
            String.class, null,
            new Response.Listener<String>() {

                @Override
                public void onResponse(String code) {
                    txtResponse.setText("Code asked successfully.");
                }
            },
            new Response.ErrorListener() {

                @Override
                public void onErrorResponse(VolleyError volleyError) {
                    Toast.makeText(getBaseContext(), volleyError.getMessage(), Toast.LENGTH_SHORT).show();
                }
            });
    this.requestQueue.add(jsObjRequest);
}

这是RESTful API中用于生成代码的方法：

public function getCode($mobileNum)
{       
    //genero un numero casuale da mandare con l'sms
    $code = mt_rand(10000000, 99999999);

    Session::put('code', $code);

    sendCode($mobileNum, $code); //send code by SMS

    return response()->json(array("success"=>true));
}

生成的代码存储在Laravel的会话中（使用文件驱动程序配置）。 当用户想要登录时，应用程序会调用此方法：

private void saveUser(final String code, final String mobile, final String name) {
    HashMap<String, String> params = new HashMap<String, String>();

    params.put("nickname", name);
    params.put("mobile", mobile);
    params.put("code", code);

    GsonRequest<String> jsObjRequest = new GsonRequest<String>(
            Request.Method.POST,
            WebAPIRoute.authValidateCode,
            String.class,
            params,
            new Response.Listener<String>() {
                @Override
                public void onResponse(String authtoken) {
                    final Account account = new Account(accountName, mAccountType);

                    String authtokenType = mAuthTokenType;
                    // Creating the account on the device and setting the auth token we got
                    // (Not setting the auth token will cause another call to the server to authenticate the user)
                    mAccountManager.addAccountExplicitly(account, code, null);
                    mAccountManager.setAuthToken(account, authtokenType, authtoken);

                    Bundle data = new Bundle();
                    data.putString(AccountManager.KEY_ACCOUNT_NAME, accountName);
                    data.putString(AccountManager.KEY_ACCOUNT_TYPE, mAccountType);
                    data.putString(AccountManager.KEY_AUTHTOKEN, authtoken);
                    data.putString(PARAM_USER_PASS, code);
                    data.putBoolean(ARG_IS_ADDING_NEW_ACCOUNT, true);

                    final Intent res = new Intent();
                    res.putExtras(data);

                    setAccountAuthenticatorResult(res.getExtras());

                    Intent i = new Intent(getBaseContext(), MyEventsActivity.class);
                    startActivity(i);
                }
            }
            ,
            new Response.ErrorListener() {
                @Override
                public void onErrorResponse(VolleyError volleyError) {
                    Log.e(TAG, volleyError.getMessage(), volleyError);
                    showMessage("Errore nell'autenticazione. Riprova piu` tardi.");
                }
            });

    requestQueue.add(jsObjRequest);
}

验证代码的API方法是：

public function validateCode() {
    $code = trim(Input::get('code'));
    $nickName = trim(Input::get('nickname'));
    $phoneNum = trim(Input::get('mobile'));

    if (empty($phoneNum))
        abort(400, 'mobile parameters not provided.');

    if (empty($code))
        abort(400, 'code parameters not provided.');

    if (empty($nickName))
        abort(400, 'nickname parameters not provided.');

    $validCode = Session::get('code');
    Log::info('code: ' . $code . " validCode: " . $validCode);

    if($code == $validCode) {
        Session::forget('code');

        // Retrieve the user by the attributes, or instantiate a new instance...
        $user = User::firstOrCreate(['Mobile' => $phoneNum]);

        //aggiorno i campi nickname e password col nuovo codice
        $user->Nickname = $nickName;
        $user->password = $code;

        //save!
        $user->save();

        //viene usata l'autenticazione di Laravel e gli serve una password
        $token = JWTAuth::attempt(['Mobile' => $phoneNum, 'password' => $code]);

        return response()->json($token);
    } else {
        //return response()->json(array('success' => false, 'error' => 'The code isn\'t correct.'));
        abort(401, 'The code isn\'t correct.' . $validCode);
    }
}

我已经使用Chrome和Firefox测试了RESTful API并且登录正常。随着应用程序没有。事实上，问题是Session :: get（＆＃39; code＆＃39;）;在validateCode中返回一个空值。我检查了使用Session :: put生成的Session文件（＆＃39; code＆＃39;，$ code）;并且是正确的。但是当调用Session :: get（＆＃39; code＆＃39;）时，Laravel会生成另一个Session文件，似乎没有使用前一个。 我在RESTful API中禁用了CSRF中间件。

有什么问题？

Answer 1

在服务器端存储会话毫无意义。 API假设是无状态的，所以第二次完成第一次代码请求并将其存储在服务器端的会话中，会话将结束，下一个请求将不记得您设置的任何内容。

如果您想保持代码登录并避免使用令牌，那么您必须从Android应用程序发送识别用户的唯一代码。然后在服务器端生成代码并将其存储在带有user_identifier和generated_code的表中，并创建一个模型来访问它，例如

<强> AttemptedLogin

user_id | generatedCode

0001 | 87392042

0032 | 83214320

然后将此添加到saveUser

params.put("user_id", user_id); // can be the android device ID or even a unique timestamp

最后在validateCode的服务器端用以下代码替换$ validCode行：

$user_id = trim(Input::get('user_id')); 

....

$validCode = AttemptedLogin::where('user_id', $user_id)->first();

if($code == $validCode->generatedCode) {
    $validCode->delete();

....