Protección de Rutas y Controladores en Laravel con Middleware

Clase 9 de 37 • Curso de Introducción a Laravel 6

Resumen

Veamos en este post cómo crear e implementar un middleware. La función principal es proporcionar una fácil y conveniente capa para filtrar las solicitudes HTTP. Existen diferentes maneras de hacerlo y de hecho Laravel incluye un middleware que verifica si el usuario está autenticado.

Puedes crear un middleware de registro y tener logs detallados de cada solicitud entrante, cualquier cosa que se te ocurra respecto a HTTP puedes llevarla a cabo usando esta tecnología.

Middleware Personalizado

$ php artisan make:middleware Subscribed

Este se crea en app/Http/Middleware/Subscribed.php. Con él puedes verificar si el usuario está suscrito a mi plan de pago de mi sistema web. O crear un middleware que revise si el usuario que se intenta registrar es mayor de edad.

$ php artisan make:middleware VerifyAge

En ambos casos tendremos nuestros middleware estarán creados en app\Http\Middleware\. Dentro de cada archivo debemos colocar la lógica de acceso correcto. Por ejemplo:

&lt;?php

namespace App\Http\Middleware;

use Closure;

class Subscribed
{
    //...
    public function handle($request, Closure $next)
    {
        if ( ! $request-&gt;user()-&gt;subscribed) {
            return abort(403, 'Sin suscripción activa');
        }

        return $next($request);
    }
}

403: La solicitud fue legal, fue correcta, pero el servidor no la responderá porque el cliente no tiene los privilegios o permisos.

Y respecto a la edad podemos hacer lo siguiente:

&lt;?php

namespace App\Http\Middleware;

use Closure;

class VerifyAge
{
    //...
    public function handle($request, Closure $next)
    {
        if ($request-&gt;get('age') &lt; 18) {
            return redirect('guidelines');
        }

        return $next($request);
    }
}

Aquí dirigimos al usuario a una vista que tenga los textos apropiados para explicarle porqué no podemos seguir con el registro.

Registro de las Clases Middleware

&lt;?php

namespace App\Http;

use Illuminate\Foundation\Http\Kernel as HttpKernel;

class Kernel extends HttpKernel
{
    //...
    protected $middleware = [];

    //...
    protected $middlewareGroups = [];

    //...
    protected $routeMiddleware = [
        'auth' =&gt; \App\Http\Middleware\Authenticate::class,
        'subscribed' =&gt; \App\Http\Middleware\Subscribed::class,
        'verify-age' =&gt; \App\Http\Middleware\VerifyAge::class,
    ];

    //...
    protected $middlewarePriority = [];
}

Y luego podemos usarla y aplicarla donde corresponde. Veamos en una ruta varios ejemplos:

Route::get('/example', 'ExampleController@...')
    -&gt;middleware('auth', 'subscribed', 'verify-age');

Acá y en el video de la clase vimos la forma correcta de proteger a nuestras rutas o métodos en controladores, lo importante es definir qué queremos proteger o interceder y crear la lógica en un archivo aparte. Una persona con poca experiencia usaría estos if pero en las vistas, en cada método de un controlador o en cada una de las rutas. Esto funcionaria pero no es la manera correcta de trabajar.

Jesus Danilo Joven Claros

student•

Felicitaciones maneja una muy buena metodológica, clara y practica, espero que platzi tome estas apreciaciones, para que evalúe y conozca que esta, es la calidad de clases que los estudiantes estamos buscando. Gracias

Lautaro Cabral

student•

Completamente de acuerdo

Italo Morales Fantone

teacher•

Muchas gracias :)

Juan Ricardo Cardona Álvarez

student•

Para proteger un grupo de rutas con middleware al mismo tiempo, se puede usar el siguiente método:

Route::middleware(['auth'])-&gt;group(function () {
    Route::view('/', 'welcome');
    Route::resource('users', 'UserController');
}

Así no habría que poner ->middelware('auth) al final de cada ruta y queda el código más limpio.

Italo Morales Fantone

teacher•

Excelente.

María Sierra

student•

Uso de Middlewares

Middleware trata sobre hacer filtrados a peticiones HTTP. Esto quiere decir, que a través de esta capa podemos agregar seguridad.

Los middleware no es un concepto de Laravel, es algo que siempre esta en el medio. En el mundo de las telecomunicaciones se usa con mayor frecuencia.

Los middleware son archivos/clases que van a estar dentro de la carpeta app → Http → Middleware, Laravel nos trae una serie de archivos.

Este línea de código nos ayuda a autenticar si un user está login o no.

middleware('auth');

🤞 Si vamos a utilizar el middleware('auth'); debemos utilizarlo en un solo lugar, o en la ruta o en el controlador pero nunca en los dos al mismo tiempo. Lo recomendado es hacerlo en las rutas.

KEVIN BRAYAN LUNA FIGUEROA

student•

Middleware.- El middleware proporciona un mecanismo conveniente para filtrar las solicitudes HTTP que ingresan a su aplicación. Por ejemplo, Laravel incluye un middleware que verifica que el usuario de su aplicación esté autenticado. Si el usuario no está autenticado, el middleware lo redireccionará a la pantalla de inicio de sesión. Sin embargo, si el usuario está autenticado, el middleware permitirá que la solicitud continúe en la aplicación.

Paul Cortes

student•

Middleware Personalizado

 php artisan make:middleware Subscribed

Este se crea en app/Http/Middleware/Subscribed.php. Con él puedes verificar si el usuario está suscrito a mi plan de pago de mi sistema web. O crear un middleware que revise si el usuario que se intenta registrar es mayor de edad.

Deyner Steven Rendon Valladales

student•

pero ¿si solo quiero proteger con un middleware solo una de las 7 rutas cuando es resource como se hace?

Italo Morales Fantone

teacher•

Agregas el método ->middleware('auth') a esa ruta.

Sergio Andrés Martínez Ramírez

student•

Existe una forma de hacerlo y es através del controlador. En el constructor se puede especificar qué métodos quiero que aplique el middleware o que métodos quiero que se excluyan del middleware. Se puede hacer de la siguiente

De esta forma sólo aplicas el midleware a los métodos index y store, las demás no se van a validar.

public function __construct(){
	$this->middleware('auth')->only(['index','store']);
}

También existe la forma inversa, que es excluir los métodos que se quieren aplicar al middleware.

En este ejemplo el middleware se aplica a todas las rutas excepto a los métodos update y delete.

public function __construct(){
	$this->middleware('auth')->except(['update','delete']);
}

Manuel Gaitan

student•

Calidad de profesor 💯

Carlos Eduardo Gomez García

teacher•

Un middleware es básicamente ese intermediario que está entre la petición y el controlador, es código que se ejecuta antes de nuestro código principal, y efectivamente sirven para proteger las rutas aqu+i en laravel, yo en lo personal prefiero usar $this->middleware en un controlador porque prefiero proteger únicamente los métodos necesarios en lugar de proteger el controlador entero:D

Ricardo Andres Zambrano Cuaicuan

student•

Buen aporte

David Antonio Garcia Saaib

student•

No hay seccion de enlaces D:

Italo Morales Fantone

teacher•

Eso veo, veré cómo lo pueden resolver en Platzi. Aquí te escribiré al tenerlo.

Italo Morales Fantone

teacher•

Está publicado debajo del video en la zona de la descripción.

Miguel Angel Muñoz Pozos

student•

Que Genial lo del Archivo Kernel.php hace que todo sea más facil

Italo Morales Fantone

teacher•

Si, allí organizas todo.

Raul Mercado

student•

No entendí como funciona Route::resource

Isaac Navajas Pozo

student•

Route::resource sirve para poder utilizar el sistema crud de laravel. es mas facil entenderlo de manera practica; sin a ver agregado el Route::resource, escribe en la consola php artisan route:list, y aparecerán las rutas que tengas , ahora si agregas el route::resource y vuelves a meter en la consola php artisan route:list veras que aparecen varias rutas, estas son las rutas crud que nos permite hacer distintos métodos.

digamos que con esa ruta va a entender que tu controlador es tambien resource y van a poder trabajar conjuntamente

Gastón Gentile

student•

Hola Raul ¿Cómo estas?

Imagina que vas a crear el sistema de una biblioteca. Este sistema tiene que permitir: agregar, actualizar, mostrar y eliminar libros (Funciones básicas de un ABM o en inglés CRUD)

Para realizar cada una de estas acciones, vas a tener que crear un controlador para los libros y dentro de ese controlador una función que te permita realizar cada una de las acciones que te mencione al principio. A esto debes sumarle también la creación de las rutas que apuntan a cada función (método) del controlador.

Entonces, por un lado, deberías crear el controlador con sus funciones, ejemplo: BookController: -Función mostrar todos los libros. -Función agregar libro. -Función mostrar un libro. -Función editar un libro. -Función eliminar un libro.

Y por el otro lado, crear las rutas que apunten a esas funciones, ejemplo: -/libros/mostrarTodos/ -/libros/agregarLibro/titulo -/libros/mostrarLibro/titulo/ -/libros/editarLibro/titulo/ -/libros/eliminarLibro/titulo

Esto lo podrías hacer manualmente, creando el controlador, las funciones y luego las rutas. Pero Laravel, te ahorra mucho trabajo. En su lugar solamente tienes que crear la ruta base (/libros/) utilizando como método resource. Entonces, cuando creas el controlador con con el parametro --resource, lo que le dices a Laravel es: ¡Hey! Creame un controlador que tenga todas las funciones básicas para poder: ver, editar, agregar y eliminar mis libros...de esta forma te ahorras tener que escribir la declaración de toooodas esas funciones.

Saludos,

Luis Cano

student•

Yo lo aprendí así:

El concepto de middleware es como una cebolla, la petición HTTP tiene que pasar por todas las capas (middlewares) de la cebolla antes de llegar al centro (nuestro código en ruta o controlador).

El orden de los middlewares es muy importante y afecta la respuesta.

ronald ivan carhuaricra vivas

student•

tengo platzi hace un año y al fin entiendo laravel buena metodología de enseñanza, clara y detallada.

David Campos

student•

Un Middleware se trata básicamente de un filtro de una petición HTTP. Esto quiere decir que, al acceder un página y hacer una solicitud, el middleware podría ser usado para agregar seguridad a esta antes de responder a la solicitud.

En Laravel los middleware se encuentran dentro de la carpeta app>http>middleware. Por defecto viene un middleware con la lógica para redirigir a un usuario a un formulario de login si no ha iniciado sesión.

Agregar un middleware a una ruta:

Route::get('/', function(){
	return view('welcome');
})->middleware('<nombre>');

Para poder agregar el middleware primero hay que agregarlo en el archivo app>http>kernel.php. Ahí se encuentran todos los middleware que Laravel agrega por defecto.

También se pueden agregar middlewares a los controladores, en este caso de autenticación. De las dos formas funcionará, pero no se debe proteger la ruta y el controlador al mismo tiempo.

class UserController extends Controller{
	public function __construct(){
		$this->middleware('auth');
	}
}

Por lo general se agregan a las rutas para mantener los controladores más limpios.

Renzo Legal

student•

Estoy recreando el ejercicio y me sale este error cuando escribo en la clase Subscribed

Error: ErrorException Trying to get property 'subscribed' of non-object

Este es el codigo:

public function handle($request, Closure $next) {

    if ( ! $request->user()->subscribed) {

        return abort(403, 'Sin suscripción activa');
    }

    return $next($request);
}

Que es exactamente lo que me esta solicitando , ya que VerifyAge me funciona correctamente y me redirije a la web especificado, bueno desde ya muchas gracias. -

Luis Cano

student•

El modelo User no tiene la propiedad (o columna en la tabla) llamada "subscribed".

Pablo Cesar Beltran Varela

student•

No encuentro la seccion de enlaces para descargar el ejemplo que me dice el video

Luis Cano

student•

Se refiere al texto en Recursos: Video #8 - Uso de Middleware

Cristobal Nyram

student•

¿Cómo podría crear un milddleware personalizado?

Por ejemplo, que detecte un ID en específico y saque a mi usuario

oscar melgarejo

student•

Para tener en cuenta: aparecen unos simbolos en el codigo

&lt;?php

namespace App\Http\Middleware;

use Closure;

class Subscribed
{
    //...
    public function handle($request, Closure $next)
    {
        if ( ! $request-&gt;user()-&gt;subscribed) {
            return abort(403, 'Sin suscripción activa');
        }

        return $next($request);
    }
}

Lo Correcto seria:

<?php

namespace App\Http\Middleware;

use Closure;

class Suscribed
{
    /**
     * Handle an incoming request.
     *
     * @param  \Illuminate\Http\Request  $request
     * @param  \Closure  $next
     * @return mixed
     */
    public function handle($request, Closure $next)
    {
        if (!$request->user()->subscribed) {
            return abort(403, "Sin suscripcion activa");
        }

        return $next($request);
    }
}

Christian Vargas

student•

Ufff me costo un poco entenderlo y más que todo saber aplicarlo.

Middleware, es un mecanismo conveniente para inspeccionar y filtrar las solicitudes Http que ingresan en nuestra aplicación.

referencia: https://laravel.com/docs/8.x/middleware#excluding-middleware

Durjeibis Escudero Torres

student•

Middleware se usa para filtrar peticiones HTTP, se usa para dar seguridad de nuestras aplicaciones. Es un término usado en todo el ámbito de la informática, especialmente en telecomunicaciones.