Middleware en PHP para proteger rutas con autenticación

Resumen

Ganar seguridad en una página web implica proteger determinados accesos para que solo usuarios autorizados puedan interactuar con áreas sensibles del sitio. Una técnica práctica y eficaz para lograr esto en PHP es crear un middleware, una herramienta intermedia que verifica el acceso del usuario antes de permitirle continuar a una funcionalidad específica.

¿Qué es un middleware y cómo funciona en PHP?

Un middleware actúa como intermediario entre la petición del usuario y el sistema principal. Su función es validar ciertas condiciones antes de permitir o denegar el acceso. Básicamente, intercepta peticiones para confirmarlas y redireccionarlas según las reglas de seguridad.

La forma en que funciona es sencilla:

El usuario realiza una petición a una ruta.
Antes de acceder directamente al método controlador, el middleware verifica si el usuario está autenticado.
Si está autenticado, permite continuar.
Si no lo está, redirige al usuario a la página de inicio de sesión.

¿Cómo desarrollar un middleware para validar la autenticación?

Para desarrollar un middleware en PHP, es necesario seguir estos pasos esenciales:

Crear una carpeta específica para middleware en el proyecto.
Definir un namespace claro para organizar el código se forma más intuitiva.
Implementar una clase que tome en cuenta un método mágico ya conocido del curso básico de PHP.
Programar la lógica de autenticación utilizando condiciones. Por ejemplo, si el usuario no está autenticado, efectuar su redirección a la vista de login mediante un helper que ya exista. Ejemplo básico:

if (!isset($_SESSION['usuario'])) {
    redirect('login');
}

¿Qué pasos detallados hay que seguir para implementar middleware en las rutas?

A continuación compartimos los pasos a nivel estructural para incorporar middleware en la definición de rutas del proyecto:

Cada ruta protegida debe tener explícitamente definido el middleware.
Se añade como un tercer parámetro opcional en el arreglo que define cada ruta, facilitando lectura y estructura.
Ejemplo de incorporación en ruta:

$rutas = [
    'editar' => ['accion' => 'editarPost', 'middleware' => 'autenticado'],
    'guardar' => ['accion' => 'guardarPost', 'middleware' => 'autenticado'],
    // Otras rutas configuradas de forma similar
];

Posteriormente, en el gestor de rutas principal analizamos:

if(isset($ruta['middleware'])) {
    (new $ruta['middleware'])();
}

Es fundamental señalar que la acción que realiza middleware se activa al instanciarlo (crear un nuevo objeto), aplicando esta revisión de permisos en ese punto.

¿Qué resultado esperar al implementar middleware en PHP?

Al implementar el middleware tendremos:

Protección efectiva en rutas que solo podrían ser accesibles mediante autenticación.
Intercepción de intentos no autorizados y redireccionamiento automático a la página de login creada para la autenticación.
Mejora notable en la organización y seguridad del código, facilitando así su lectura y soporte a largo plazo.

Este mecanismo sencillo pero poderoso es esencial para la gestión segura y organizada de accesos a distintas secciones de un sitio web desarrollado en PHP. Además, la implementación práctica del reto propuesto permite reforzar este aprendizaje aplicándolo directamente en módulos específicos como el blog.

¿Te animas a compartir tu experiencia o dudas sobre middleware o autenticación en PHP?

Bryan Castano

student•

Class Router { } in ./frmwrk/class Router {

protected $routes = [];

public function __construct() {

$this->loadRoutes('web');

}

public function get( string $uri, array $action , string | null $middleware = null ) {

$this->routes['GET'][$uri] = [ 'action' => $action, 'middleware' => $middleware ];

}

public function post( string $uri, array $action , string | null $middleware = null ) {

$this->routes['POST'][$uri] = [ 'action' => $action, 'middleware' => $middleware ];

}

public function delete( string $uri, array $action , string | null $middleware = null ) {

$this->routes['DELETE'][$uri] = [ 'action' => $action, 'middleware' => $middleware ];

}

public function put( string $uri, array $action , string | null $middleware = null ) {

$this->routes['PUT'][$uri] = [ 'action' => $action, 'middleware' => $middleware ];

}

public function patch( string $uri, array $action , string | null $middleware = null ) {

$this->routes['PATCH'][$uri] = [ 'action' => $action, 'middleware' => $middleware ];

}

public function run() {

$requestURI = parse_url($_SERVER['REQUEST_URI'], PHP_URL_PATH);

$route = $this->routes[$requestURI] ?? null ;

$method = $_POST['_method'] ?? $_SERVER['REQUEST_METHOD']; //FIT WORKS FOR GET, POST, PUT AND DELETE SINCE NOW ON.

$action = $this->routes[$method][$requestURI]['action'] ?? null ;

if ($action === null) {

http_response_code(404);

echo "404 Not Found";

exit('Route not found ' . $method . ' ' . $requestURI);

} //else {

// require_once __DIR__ . '/../' . $route;

//}

$middlewareClass = $this->routes[$method][$requestURI]['middleware'] ?? null;

if ( $middlewareClass === null ) {

// No middleware, proceed to controller action

} else {

$middleware = new $middlewareClass();

$middleware(); // Call the middleware

}

[$controller , $method ] = $action;

( new $controller())->$method();

}

protected function loadRoutes(string $file)

{

$router = $this;

$filePath = __DIR__ . '/../routes/' . $file . '.php';

if (file_exists($filePath)) {

require $filePath;

} else {

exit('404 Not Found');

}

class Router {

    protected $routes = [];

    public function __construct()   {

        $this->loadRoutes('web');

    }


    public function get( string $uri, array $action , string | null $middleware = null )   {

        $this->routes['GET'][$uri] = [ 'action' => $action, 'middleware' => $middleware ];

    }

    public function post( string $uri, array $action , string | null $middleware = null )   {

        $this->routes['POST'][$uri] = [ 'action' => $action, 'middleware' => $middleware ];

    }

    public function delete( string $uri, array $action , string | null $middleware = null )   {

        $this->routes['DELETE'][$uri] = [ 'action' => $action, 'middleware' => $middleware ];

    }

    public function put( string $uri, array $action ,  string | null $middleware = null )   {

        $this->routes['PUT'][$uri] = [ 'action' => $action, 'middleware' => $middleware ];

    }

    public function patch( string $uri, array $action ,  string | null $middleware = null )   {

        $this->routes['PATCH'][$uri] = [ 'action' => $action, 'middleware' => $middleware ];

    }

    public function run() {

        $requestURI = parse_url($_SERVER['REQUEST_URI'], PHP_URL_PATH);
   
        $route =  $this->routes[$requestURI] ??  null ;

        $method =  $_POST['_method'] ?? $_SERVER['REQUEST_METHOD']; //FIT WORKS FOR GET, POST, PUT  AND DELETE SINCE NOW ON.


        $action = $this->routes[$method][$requestURI]['action'] ?? null ;


        if ($action === null) {
            http_response_code(404);
            echo "404 Not Found";
            exit('Route not found ' . $method . ' ' . $requestURI);
         } //else {
           //  require_once __DIR__ . '/../' . $route;
         //}

        $middlewareClass = $this->routes[$method][$requestURI]['middleware'] ?? null;

        if ( $middlewareClass === null ) {
            // No middleware, proceed to controller action
        } else {
            $middleware = new $middlewareClass();
            $middleware(); // Call the middleware
        }

        [$controller , $method ] = $action;

        ( new $controller())->$method();

    }

    protected function loadRoutes(string $file)
    {

        $router = $this;

        $filePath = __DIR__ . '/../routes/' . $file . '.php';

        if (file_exists($filePath)) {
            require $filePath;
        } else {
            exit('404 Not Found');
        }
    }

}