.com 2 第一部分：序言 新版特性 Laravel 6.0（LTS 版本） 在 Laravel 5.8 的基础上继续进行优化， 包括引入语义化版本、兼容 Laravel Vapor、优化授权响应、支持任 务中间件、新增懒集合、优化数据库子查询、将前端脚手架提取到独 立的 Composer 包 laravel/ui、以及多个 bug 修复和可用性的提 升。 语义化版本 Laravel 错误文件和行号处理、针对常见问题的可执行解决方案、代码 编辑、异常分享、以及经过优化的用户体验。 优化授权响应 在之前版本的 Laravel 中，获取并提供自定义授权消息给终端用户 很困难，主要难点在于如何向终端用户解释清楚为什么特定的请求被 拒绝了。在 Laravel 6.0 中，我们可以使用 Gate::inspect 方法和 授权响应消息来轻松实现。例如，给定如下策略方法： /** * 判断用户是否可以查看指定的航班 un.com 4 接下来我们可以通过 Gate::inspect 方法获取授权策略的响应，然 后再通过响应示例的 message() 方法获取授权消息： $response = Gate::inspect('view', $flight); if ($response->allowed()) { // 用户被授权可以访问航班... } if ($response->denied())

function () { // }); }); 广播频道类 如果你的应用消费多个不同的频道，routes/channels.php 文件可能会变得很臃肿，所以，作为使用闭包来授权频道的替代方案，你现在可以使用 频道类。要生成一个频道类，可以使用 Artisan 命令 make:channel。该命令会将新生成的频道类存放到 app/Broadcasting 目录下： php annel; Broadcast::channel('order.{order}', OrderChannel::class); 最后，可以将频道的授权逻辑放到频道类的 join 方法。join 方法中的代码等同于之前位于频道授权闭包中的处理逻辑。当然，你还可以使用频道模 型绑定： 授权策略类，策略用于判断某个用 户是否有权限去访问指定资源。更多详情，请查看授权文档。 Providers 目录 Providers 目录包含应用的所有服务提供者。服务提供者在应用启动过程中绑定服务到容器、注册事件以及执行其他任务为即将到来的请求处理做好

....................................................................................... 231 8.2 用户授权 .................................................................................................. 提供一个完整的 Oauth2 服务器实现，Passport 基于 Alex Bilbie 维护的 League OAuth2 server 实 现。 Passport 使得通过 OAuth2 授权码获取访问令牌（access token）变得轻松，你还可以允许用户通 本文档由 Laravel 学院（LaravelAcademy.org）提供 Laravel 学院致力于提供优质 Laravel Route::get('/logout', 'Auth\LoginController@logout'); 授权 使用类名调用策略方法 有时候一些策略方法只接收当前认证用户而不是授权模型实例，最常见的场景就是授权 create 动 作。例如，如果你在创建一篇博客，你可能希望检查当前用户是否被授权创建文章。 当定义一个不接收模型实例的策略方法时，比如 create 方法，对应类名就不再需要以第二个参

更多自定义认证提供者详情，请查看其对应文档。 本文档由 Laravel 学院（LaravelAcademy.org）提供 Laravel 学院致力于提供优质 Laravel 中文学习资源 5 授权 Illuminate\Auth\Access\UnauthorizedException 被重命名 为 Illuminate\Auth\Access\AuthorizationException。如果你没有手动捕获该异常那么 }); }); 5、CSRF 攻击 简介 跨站请求伪造是一种通过伪装授权用户的请求来利用授信网站的恶意漏洞。Laravel 使得 防止应用遭到跨站请求伪造攻击变得简单。 Laravel 自动为每一个被应用管理的有效用户会话生成一个 CSRF “令牌”，该令牌用于验 证授权用户和发起请求者是否是同一个人。想要生成包含 CSRF 令牌的隐藏输入字段， 可以使用帮助函数 csrf_field 请求提供了一套便利的机制。例如， Laravel 内置了一个中间件来验证用户是否经过授权，如果用户没有经过授权，中间件会将 本文档由 Laravel 学院（LaravelAcademy.org）提供 Laravel 学院致力于提供优质 Laravel 中文学习资源 30 用户重定向到登录页面，否则如果用户经过授权，中间件就会允许请求继续往前进入下一 步操作。 当然，除了认证之外，中间件

CSRF 攻击 5.1 简介 Laravel 使得防止应用遭到跨站请求伪造攻击变得简单。跨站请求伪造是一种通过伪装授权 用户的请求来利用授信网站的恶意漏洞。 Laravel 自动为每一个被应用管理的有效用户 Session 生成一个 CSRF“令牌”，该令牌用于 验证授权用户和发起请求者是否是同一个人。想要生成包含 CSRF 令牌的隐藏输入字段， 可以使用帮助函数 csrf_field 来实现： HTTP 中间件 1、简介 HTTP 中间件提供了一个便利的机制来过滤进入应用的 HTTP 请求。例如，Laravel 包含了 一个中间件来验证用户是否经过授权，如果用户没有经过授权，中间件会将用户重定向到登 录页面，否则如果用户经过授权，中间件就会允许请求继续往前进入下一步操作。 当然，除了认证之外，中间件还可以被用来处理更多其它任务。比如：CORS 中间件可以 用于为离开站点的响应添加合适