博客

上一篇实现了一个简单的前置检查，这一篇我们来聊一聊如何实现APPID的有效性检查。上一篇中，我们只是简单的将APPID获取到并传递到了请求处理函数中，这一篇，我们来实现一个APPID有效性的前置检查，或者叫中间件。

APPID的检查相对比较简单，我们可以透过一种比较Wordpress的方式来实现：

add_filter('wechat_mp_permission_callback', function ($permission, WP_REST_Request $request) {
    if ($permission === false) {
        return false;
    }

    $wechat_mp_apps = apply_filters( 'wechat_mp_apps', [] );
    $attrs = $request->get_attributes();
    return array_key_exists($attrs['app_id'], $wechat_mp_apps);
}, 10, 2);

小程序默认提供了一个固定格式的referer格式，具体可以参考官方文档：网络请求。如下：

https://servicewechat.com/{appid}/{version}/page-frame.html

由于这个referer是不可以手动设置的，因此透过这个referer，我们可以对请求进行一个简单的前置检查，过滤一些简单的脚本。同时，我们也能通过这个前置检查来了解请求的身份，即小程序APPID，当需要同时支持多个小程序时，这一点还是很有意义的。

一个简单实现

/**
 * 小程序请求通用前置检查
 */
function precheck($referer) {
    $result = preg_match("/^https:\/\/servicewechat\.com\/(.*?)\/(.*?)\/page-frame\.html$/", $referer, $matches);
    if (!$result || empty($matches) || !isset($matches[1]) || !isset($matches[2])) {
        return false;
    }

    return true;
}

在Wordpress中的使用

通过这个简单的函数，我们可以对小程序发起的请求进行一个简单的前置检查。那么如何应用到Wordpress中呢？

通过阅读Wordpress的文档，可以了解注册rest路由的函数是register_rest_route，具体参考文档：register_rest_route。注册路由可以配置三个回调函数，分别是permission_callback,validate_callback和callback。我觉得这个检查更适合用在permission_callback，即当无法通过检查的时候，我们实际上可以认为这是一个非法请求，我们对之前的实现进行一些修改：

/**
 * 小程序请求通用前置检查
 */
function precheck(WP_REST_Request $request) {
    $referer = $request->get_header('referer');
    $result = preg_match("/^https:\/\/servicewechat\.com\/(.*?)\/(.*?)\/page-frame\.html$/", $referer, $matches);
    if (!$result || empty($matches) || !isset($matches[1]) || !isset($matches[2])) {
        return false;
    }

    return true;
}

暂存获取到的APPID和VERSION，方便之后使用

在前面的代码里，我们通过一个简单的正则，对referer进行了一个简单的检查，但是匹配的一些结果我们没有暂存下来，为了方便之后获取APPID和VERSION信息，我们再次扩展一下：

/**
 * 小程序请求通用前置检查
 */
function precheck(WP_REST_Request $request) {
    $referer = $request->get_header('referer');
    $result = preg_match("/^https:\/\/servicewechat\.com\/(.*?)\/(.*?)\/page-frame\.html$/", $referer, $matches);
    if (!$result || empty($matches) || !isset($matches[1]) || !isset($matches[2])) {
        return false;
    }

    $request->set_attributes([
        'app_id' => $matches[1],
        'version' => $matches[2]
    ]);

    return true;
}

封装

为了更方便使用，我们再次进行一点简单的封装。

/**
 * 给所有的路由添加默认的前置检查钩子
 */
function register_wechat_mp_rest_route($route_namespace, $route, $args = [], $override = false) {
    add_filter( 'wechat_mp_permission_callback', precheck, 10, 2 );

    if (isset($args['permission_callback'])) {
        if (!is_array($args['permission_callback'])) {
            $args['permission_callback'] = [ $args['permission_callback'] ];
        }

        foreach ($args['permission_callback'] as $callback) {
            add_filter( 'wechat_mp_permission_callback', $callback, 10 , 2 );
        } 
    }
    $args['permission_callback'] = function (WP_REST_Request $request) {
        return apply_filters( 'wechat_mp_permission_callback', true, $request );
    };
    return register_rest_route($route_namespace, $route, $args, $override);
}

/**
 * 小程序请求通用前置检查
 */
function precheck($permission, WP_REST_Request $request) {
    if ($permission === false) {
        return false;
    }

    $referer = $request->get_header('referer');
    $result = preg_match("/^https:\/\/servicewechat\.com\/(.*?)\/(.*?)\/page-frame\.html$/", $referer, $matches);
    if (!$result || empty($matches) || !isset($matches[1]) || !isset($matches[2])) {
        return false;
    }

    $request->set_attributes([
        'app_id' => $matches[1],
        'version' => $matches[2]
    ]);

    return true;
}

好，到这里，我们的前置检查相关的代码就完成了。下一篇的时候我们来实现一下用户认证。