Question

我正在尝试使用Laravel 5.2开发RESTful API。我偶然发现如何以JSON格式返回失败的授权。目前，它正在抛出403页面错误而不是JSON。

控制器：TenantController.php

class TenantController extends Controller
{
    public function show($id)
    {
        $tenant = Tenant::find($id);
        if($tenant == null) return response()->json(['error' => "Invalid tenant ID."],400);
        $this->authorize('show',$tenant);
        return $tenant;
    }
}

政策：TenantPolicy.php

class TenantPolicy
{
    use HandlesAuthorization;
    public function show(User $user, Tenant $tenant)
    {
        $users = $tenant->users();
        return $tenant->users->contains($user->id);
    }
}

授权目前工作正常，但它显示403禁止页面而不是返回json错误。是否可以将其作为403的JSON返回？并且，是否可以使所有失败的授权（不仅仅是在此控制器中）全局化？

Answer 1

我们设法通过修改App\Exceptions\Handler.php中render添加public function render($request, Exception $e) { if ($e instanceof AuthorizationException) { return response()->json(['error' => 'Not authorized.'],403); } return parent::render($request, $e); }函数中的例外处理程序来解决此问题。

{{1}}

Answer 2

是的，在您的策略中创建一个简单的before方法，该方法将在所有其他授权检查之前执行，

public function before($user, $ability,Request $request)
{
    if (!yourconditiontrue) {
         if ($request->ajax()) {
            return response('Unauthorized.', 401);
        } else {
            return abort('403');
        }
    }
}

Answer 3

您可以截取异常

Array.prototype.includes = function (object) {
  return !!+~this.indexOf(object);
};

Answer 4

对于最新版本的Laravel，从现在的7.x版本开始，

通常设置请求标头'Accept'=>'application / json'会告诉Laravel您希望返回json响应。

对于错误，您还需要通过在.env文件上设置 APP_DEBUG = false 来关闭调试，这将确保响应为json并且未提供stacktrace。

Answer 5

我在 Laravel 7.3 版中也遇到了同样的问题，其中 AuthorizationException 没有被捕获。我知道我们必须在 Handler.php 中包含 AuthorizationException 像

<?php

namespace App\Exceptions;

use Illuminate\Foundation\Exceptions\Handler as ExceptionHandler;

use Illuminate\Auth\AuthenticationException;
use Illuminate\Auth\Access\AuthorizationException;

use Throwable;
use Exception;
use Request;
use Response;

class Handler extends ExceptionHandler
{
    // ...

    /**
     * Render an exception into an HTTP response.
     *
     * @param  \Illuminate\Http\Request  $request
     * @param  \Throwable  $exception
     * @return \Symfony\Component\HttpFoundation\Response
     *
     * @throws \Throwable
     */
    public function render($request, Throwable $exception)
    {
        if ($exception instanceof AuthorizationException)
        {
            return response()->json(['message' => 'Forbidden'], 403);
        }
        if ($exception instanceof ModelNotFoundException && $request->wantsJson()) {
            return response()->json(['message' => 'resource not found')], 404);
        }
        
        return parent::render($request, $exception);
    }

    // ...
}

仅供参考，如果您只是使用以下语句添加 AuthorizationException

<块引用>

使用授权异常；

还是不行。所以我们必须指定完全限定的命名空间路径。

Answer 6

可接受的答案有效，但是如果您不想为每条路线都返回json，则可以使用中间件进行处理。

有关此操作的简要概述：

创建一个ApiAuthorization类并扩展您的主要auth类。

<?php

namespace App\Http\Middleware;

use Closure;
use Illuminate\Http\Request;
use Illuminate\Auth\Middleware\Authorize;
use Illuminate\Auth\Access\AuthorizationException;

class ApiAuthorization extends Authorize
{
    public function handle($request, Closure $next, $ability, ...$models)
    {
        try {
            $this->auth->authenticate();

            $this->gate->authorize($ability, $this->getGateArguments($request, $models));
        } catch (AuthorizationException $e) {
            return response()->json(['error' => 'Not authorized.'],403);
        }

        return $next($request);
    }
}

将中间件添加到$routeMiddleware中的App\Http\Kernel.php

'api.can' => \App\Http\Middleware\ApiAuthorization::class,

更新您的路线。现在，您可以通过调用类似于the example in the docs的api.can来使用新的api auth中间件

    Route::get('tenant', [
        'as' => 'api.tenant',
        'uses' => 'TenantController@show'
    ])->middleware('api.can:show,tenant');

此方法允许您返回特定路由的json，而无需修改全局异常处理程序。

如何在Laravel 5.2中以JSON格式返回403响应？

6 个答案: