Laravel 用戶授權(quán) Gate和Policy

要點(diǎn):

  • Laravel 有 2 種主要方式來實(shí)現(xiàn)用戶授權(quán):gates 和策略。
  • Gates 接受一個(gè)當(dāng)前登錄用戶的實(shí)例作為第一個(gè)參數(shù)盅藻。并且接收可選參數(shù),比如相關(guān)的Eloquent 模型。
  • 用命令生成策略 php artisan make:policy PostPolicy --model=Post
    --model參數(shù)生成的內(nèi)容包含CRUD方法
  • Gate用在模型和資源無關(guān)的地方窑眯,Policy正好相反。
<?php

namespace App\Policies;

use App\User;
use App\Post;
use Illuminate\Auth\Access\HandlesAuthorization;

class PostPolicy
{
    use HandlesAuthorization;

    /**
     * Determine whether the user can view the post.
     *
     * @param  \App\User  $user
     * @param  \App\Post  $post
     * @return mixed
     */
    public function view(User $user, Post $post)
    {
        //
    }

    /**
     * Determine whether the user can create posts.
     *
     * @param  \App\User  $user
     * @return mixed
     */
    public function create(User $user)
    {
        //
    }

    /**
     * Determine whether the user can update the post.
     *
     * @param  \App\User  $user
     * @param  \App\Post  $post
     * @return mixed
     */
    public function update(User $user, Post $post)
    {
        //
    }

    /**
     * Determine whether the user can delete the post.
     *
     * @param  \App\User  $user
     * @param  \App\Post  $post
     * @return mixed
     */
    public function delete(User $user, Post $post)
    {
        //
    }
}

操作流程:

  1. 新建Post表及Model文件
    php artisan make:migrate create_posts_table
    php artisan make:model Post
    表信息
    public function up()
    {
        Schema::create('posts', function (Blueprint $table) {
            $table->increments('id');
            $table->string('title');
            $table->integer('user_id')->unsigned();
            $table->text('body');
            $table->foreign('user_id')->references('id')->on('users')->onDelete('cascade');
            $table->timestamps();
        });
    }

填充數(shù)據(jù)澡罚,打開UserFactory添加

$factory->define(App\Post::class, function (Faker $faker) {
    return [
        'title' => $faker->sentence,
        'body' => $faker->paragraph,
        'user_id' => factory(\App\User::class)->create()->id,
    ];
});

Post表內(nèi)容


image.png
  1. routes/web.php添加
    Route::resource('posts', 'PostsController');

  2. 定義Gate
    打開 Proviers/AuthServiceProvider.php伸但,修改boot方法

    public function boot()
    {
        $this->registerPolicies();

        // Gates 接受一個(gè)用戶實(shí)例作為第一個(gè)參數(shù),并且可以接受可選參數(shù)留搔,比如 相關(guān)的 Eloquent 模型:
        Gate::define('update-post', function ($user, $post) {
            // return $user->id == $post->user_id;
            return $user->owns($post);
        });
    }

這里更胖,在User模型中定義了own方法

    public function owns($post)
    {
        return $post->user_id === $this->id;
    }
  1. PostsController中,只寫一個(gè)show方法
    // Gate 演示
    public function show($id)
    {
        $post = Post::findOrFail($id);

        \Auth::loginUsingId(2);

        $this->authorize('update-post', $post);

        if (Gate::denies('update-post', $post)) {
            abort(403, 'sorry');
        }


        // compact('post') 等價(jià)于 ['post' => $post]
        return view('posts.view', compact('post'));
        // return $post->title;
    }
  1. 訪問 /posts/1隔显。會(huì)報(bào)403却妨。這是因?yàn)槲覀兪怯胾ser_id為2登錄。
image.png
  1. 如果注釋 $this->authorize('update-post', $post);括眠,就會(huì)顯示:

    image.png

  2. 視圖中判斷Policy彪标,如果post的user_id是當(dāng)前登錄用戶,顯示編輯鏈接掷豺。

@can('update', $post)
<a href="#">編輯</a>
@endcan

@can 和 @cannot 各自轉(zhuǎn)化為如下聲明:

@if (Auth::user()->can('update', $post))
    <!-- 當(dāng)前用戶可以更新博客 -->
@endif

@unless (Auth::user()->can('update', $post))
    <!-- 當(dāng)前用戶不可以更新博客 -->
@endunless

參考:https://d.laravel-china.org/docs/5.5/authorization

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
  • 序言:七十年代末捞烟,一起剝皮案震驚了整個(gè)濱河市,隨后出現(xiàn)的幾起案子当船,更是在濱河造成了極大的恐慌题画,老刑警劉巖,帶你破解...
    沈念sama閱讀 222,252評(píng)論 6 516
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件德频,死亡現(xiàn)場離奇詭異苍息,居然都是意外死亡,警方通過查閱死者的電腦和手機(jī),發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 94,886評(píng)論 3 399
  • 文/潘曉璐 我一進(jìn)店門竞思,熙熙樓的掌柜王于貴愁眉苦臉地迎上來表谊,“玉大人,你說我怎么就攤上這事盖喷”欤” “怎么了?”我有些...
    開封第一講書人閱讀 168,814評(píng)論 0 361
  • 文/不壞的土叔 我叫張陵传蹈,是天一觀的道長押逼。 經(jīng)常有香客問我,道長惦界,這世上最難降的妖魔是什么挑格? 我笑而不...
    開封第一講書人閱讀 59,869評(píng)論 1 299
  • 正文 為了忘掉前任,我火速辦了婚禮沾歪,結(jié)果婚禮上漂彤,老公的妹妹穿的比我還像新娘。我一直安慰自己灾搏,他們只是感情好挫望,可當(dāng)我...
    茶點(diǎn)故事閱讀 68,888評(píng)論 6 398
  • 文/花漫 我一把揭開白布。 她就那樣靜靜地躺著狂窑,像睡著了一般媳板。 火紅的嫁衣襯著肌膚如雪。 梳的紋絲不亂的頭發(fā)上泉哈,一...
    開封第一講書人閱讀 52,475評(píng)論 1 312
  • 那天蛉幸,我揣著相機(jī)與錄音,去河邊找鬼丛晦。 笑死奕纫,一個(gè)胖子當(dāng)著我的面吹牛,可吹牛的內(nèi)容都是我干的烫沙。 我是一名探鬼主播匹层,決...
    沈念sama閱讀 41,010評(píng)論 3 422
  • 文/蒼蘭香墨 我猛地睜開眼,長吁一口氣:“原來是場噩夢啊……” “哼锌蓄!你這毒婦竟也來了升筏?” 一聲冷哼從身側(cè)響起,我...
    開封第一講書人閱讀 39,924評(píng)論 0 277
  • 序言:老撾萬榮一對(duì)情侶失蹤瘸爽,失蹤者是張志新(化名)和其女友劉穎仰冠,沒想到半個(gè)月后,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體蝶糯,經(jīng)...
    沈念sama閱讀 46,469評(píng)論 1 319
  • 正文 獨(dú)居荒郊野嶺守林人離奇死亡,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 38,552評(píng)論 3 342
  • 正文 我和宋清朗相戀三年辆沦,在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了昼捍。 大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片识虚。...
    茶點(diǎn)故事閱讀 40,680評(píng)論 1 353
  • 序言:一個(gè)原本活蹦亂跳的男人離奇死亡,死狀恐怖妒茬,靈堂內(nèi)的尸體忽然破棺而出担锤,到底是詐尸還是另有隱情,我是刑警寧澤乍钻,帶...
    沈念sama閱讀 36,362評(píng)論 5 351
  • 正文 年R本政府宣布肛循,位于F島的核電站,受9級(jí)特大地震影響银择,放射性物質(zhì)發(fā)生泄漏多糠。R本人自食惡果不足惜,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 42,037評(píng)論 3 335
  • 文/蒙蒙 一浩考、第九天 我趴在偏房一處隱蔽的房頂上張望夹孔。 院中可真熱鬧,春花似錦析孽、人聲如沸搭伤。這莊子的主人今日做“春日...
    開封第一講書人閱讀 32,519評(píng)論 0 25
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽怜俐。三九已至,卻和暖如春邓尤,著一層夾襖步出監(jiān)牢的瞬間拍鲤,已是汗流浹背。 一陣腳步聲響...
    開封第一講書人閱讀 33,621評(píng)論 1 274
  • 我被黑心中介騙來泰國打工裁赠, 沒想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留殿漠,地道東北人。 一個(gè)月前我還...
    沈念sama閱讀 49,099評(píng)論 3 378
  • 正文 我出身青樓佩捞,卻偏偏與公主長得像绞幌,于是被迫代替她去往敵國和親。 傳聞我的和親對(duì)象是個(gè)殘疾皇子一忱,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 45,691評(píng)論 2 361

推薦閱讀更多精彩內(nèi)容