分析 Auth（2）

透過 AuthManager 取得 SessionGuard 實例，接著在 Authenticate Middleware 會呼叫 check() 方法驗證。

if ($this->auth->guard($guard)->check()) {
    return $this->auth->shouldUse($guard);
}

SessionGuard 的 check() 方法如下：

public function check()
{
    return ! is_null($this->user());
}

只要呼叫 user() 的結果不是 null，即是驗證成功。從介面上來看，它應該會回傳 Authenticatable 或是 null：

public function user()
{
    // 已登出就回傳 null
    if ($this->loggedOut) {
        return;
    }

    // 如果屬性 user 有值就回傳
    if (! is_null($this->user)) {
        return $this->user;
    }

    // 從 session 取得代表使用者的 id
    $id = $this->session->get($this->getName());

    // 如果有取到 id，且從 provider 也能取回實例的話，就觸發 Authenticated 事件
    if (! is_null($id) && $this->user = $this->provider->retrieveById($id)) {
        $this->fireAuthenticatedEvent($this->user);
    }

    // 取得 recaller 實例。這個實例是從 remember cookie 建出來的
    // 從原始碼還不確定，不過應該指的就是「記住我」的按鈕功能
    $recaller = $this->recaller();

    // 如果沒取到 user 實例，但有 recaller 的話
    if (is_null($this->user) && ! is_null($recaller)) {
        // 試著從 recaller 解析出 user 實例
        $this->user = $this->userFromRecaller($recaller);

        if ($this->user) {
            // 解析出來後，將 id 更新回 session
            $this->updateSession($this->user->getAuthIdentifier());

            // 使用 recaller 對 Auth 元件而言，是屬於 Login 事件
            $this->fireLoginEvent($this->user, true);
        }
    }

    return $this->user;
}

第一次進網站時，沒有 session 也沒有 cookie，因此最後回傳的會是 null，check() 方法將會回傳 false。

那反過來說，何時會回傳 true 呢？session 能取得 id 是一種可能，我們可以從使用 session 屬性方法來查，關鍵更新 session 的方法是 updateSession()：

protected function updateSession($id)
{
    $this->session->put($this->getName(), $id);

    $this->session->migrate(true);
}

這個方法除了在上面 recaller 的行為也有看到之外，還有 login()，這也是 StatefulGuard 的介面：

public function login(AuthenticatableContract $user, $remember = false)
{
    // 先更新 session，它的值正是 user 的 identifier
    $this->updateSession($user->getAuthIdentifier());

    // 有點記住我的話，就寫入 cookie
    if ($remember) {
        // 確保 user 的 remember token 存在，不存在會建新的
        $this->ensureRememberTokenIsSet($user);

        // 加入 CookieJar 的 queue
        // 換言之，使用 login() 方法的 route，必須要加上 AddQueuedCookiesToResponse 的 middleware 才會有作用
        $this->queueRecallerCookie($user);
    }

    // 觸發 Login 事件
    $this->fireLoginEvent($user, $remember);

    // 設定會員實例
    $this->setUser($user);
}

仔細想想，user 不可能丟一個物件進來登入，因此這個 login 方法，應該有被另一個處理 user 輸入的方法使用到，是 attempt() 方法：

public function attempt(array $credentials = [], $remember = false)
{
    // 觸發嘗試驗證的事件
    $this->fireAttemptEvent($credentials, $remember);

    // 使用 credentials 去 provider 取得 Authenticatable 實例
    $this->lastAttempted = $user = $this->provider->retrieveByCredentials($credentials);

    // 驗證 credentials
    if ($this->hasValidCredentials($user, $credentials)) {
        // 呼叫登入方法
        $this->login($user, $remember);

        return true;
    }

    // 驗證失敗就觸發 Failed 事件
    $this->fireFailedEvent($user, $credentials);

    return false;
}

基本上使用帳密，透過 attempt()，即可完成登入流程。若再往上一層級追程式碼的話，就會到 Controller 了，先暫時打住。

回頭看一下 middleware 的 $this->auth->shouldUse($guard)：

public function shouldUse($name)
{
    // 以剛剛的例子，這裡會是 null，所以會取得預設的 driver 為 web
    $name = $name ?: $this->getDefaultDriver();

    // 設定預設的 driver
    $this->setDefaultDriver($name);

    // 重新設定 Authenticatable 解析器
    $this->userResolver = function ($name = null) {
        return $this->guard($name)->user();
    };
}

昨天有提到 middleware 可以傳入多個 guard 驗證。因驗證 user 這件事，對 PHP 的生命週期來說，會是全域唯一的設定；這個方法則是用來設定目前全域唯一要用哪一個 guard。

接著，有登入，也要有登出。來看一下如何登出。

剛剛有看到有一個屬性 loggedOut 是在代表是否執行過登出的 flag。反查了一下，找到 logout() 方法正是在設定這個屬性為 true：

public function logout()
{
    // 解析 Authenticatable 實例
    $user = $this->user();

    // 清除 session 與 cookie
    $this->clearUserDataFromStorage();

    // 可以的話，重產 remember token
    if (! is_null($this->user)) {
        $this->cycleRememberToken($user);
    }

    // 有 event 物件的話，觸發登出事件
    if (isset($this->events)) {
        $this->events->dispatch(new Events\Logout($this->name, $user));
    }

    // 清除 guard 裡，有關 user 的資訊
    $this->user = null;

    // 設定屬性 loggedOut 為 true
    $this->loggedOut = true;
}

跟 login() 不一樣的是，它不依賴任何參數，可以直接在 Controller 呼叫它即可。

到此，簡單的 Authenticate 流程都說明完了。知道這些資訊後，就能使用 Auth 套件實作登入登出了，明天再來談如何客製化登入登出。