2、定义权限(abilities) 判断用户是否有权限执行给定动作的最简单方式就是使用 illuminate\auth\access\gate类来定义一个“权限”。我们在 authserviceprovider中定义所有权限,例如,我们来定义一个接收当前 user和 post 模型的 update-post权限,在该权限中,我们判断用户 id是否和文章的 user_id匹配:
define('update-post', function ($user, $post) { return $user->id === $post->user_id; }); }}
注意我们并没有检查给定 $user是否为 null,当用户未经过登录认证或者用户没有通过 foruser方法指定, gate会自动为所有权限返回 false。
基于类的权限
除了注册授权回调闭包之外,还可以通过传递包含权限类名和类方法的方式来注册权限方法,当需要的时候,该类会通过服务容器进行解析:
$gate->define('update-post', 'postpolicy@update');
拦截认证检查
有时候,你可能希望对指定用户授予所有权限,在这种场景中,需要使用 before方法定义一个在所有其他授权检查之前运行的回调:
$gate->before(function ($user, $ability) { if ($user->issuperadmin()) { return true; }});
如果 before回调返回一个非空结果,那么该结果则会被当做检查的结果。
你也可以使用 after方法定义一个在所有其他授权检查之后运行的回调,所不同的是,在 after回调中你不能编辑授权检查的结果:
$gate->after(function ($user, $ability, $result, $arguments) { //});
3、检查权限(abilities) 通过 gate 门面 权限定义好之后,可以使用多种方式来“检查”。首先,可以使用 gate 门面的 check, allows, 或者 denies方法。所有这些方法都接收权限名和传递给该权限回调的参数作为参数。你不需要传递当前用户到这些方法,因为 gate会自动附加当前用户到传递给回调的参数,因此,当检查我们之前定义的 update-post权限时,我们只需要传递一个 post实例到 denies方法:
allows('update-post', $post)) { //}
传递多个参数
当然,权限回调还可以接收多个参数:
gate::define('delete-comment', function ($user, $post, $comment) { //});
如果权限需要多个参数,简单传递参数数组到 gate方法:
if (gate::allows('delete-comment', [$post, $comment])) { //}
通过 user模型 还可以通过 user模型实例来检查权限。默认情况下,laravel 的 app\user模型使用一个 authorizabletrait来提供两种方法: can和 cannot。这两个方法的功能和 gate门面上的 allows和 denies方法类似。因此,使用我们前面的例子,可以修改代码如下:
user()->cannot('update-post', $post)) { abort(403); } // 更新文章... }}
当然, can方法和 cannot方法相反:
if ($request->user()->can('update-post', $post)) { // 更新文章...}
在 blade 模板引擎中检查 为了方便,laravel 提供了 blade 指令 @can来快速检查当前用户是否有指定权限。例如:
id }}>view post@can('update-post', $post) id }}/edit>edit post@endcan
你还可以将 @can指令和 @else指令联合起来使用:
@can('update-post', $post) @else @endcan
在表单请求中检查 你还可以选择在表单请求的 authorize方法中使用 gate定义的权限。例如:
/** * 判断请求用户是否经过授权 * * @return bool */public function authorize(){ $postid = $this->route('post'); return gate::allows('update', post::findorfail($postid));}
4、策略类(policies) 创建策略类 由于在 authserviceprovider中定义所有的授权逻辑将会变得越来越臃肿笨重,尤其是在大型应用中,所以 laravel 允许你将授权逻辑分割到多个“策略”类中,策略类是原生的php类,基于授权资源对授权逻辑进行分组。
首先,让我们生成一个策略类来管理对 post模型的授权,你可以使用 artisan 命令 make:policy来生成该策略类。生成的策略类位于 app/policies目录:
php artisan make:policy postpolicy
注册策略类
策略类生成后我们需要将其注册到 gate类。 authserviceprovider包含了一个 policies属性来映射实体及管理该实体的策略类。因此,我们指定 post模型的策略类是 postpolicy:
postpolicy::class, ]; /** * 注册所有应用认证/授权服务 * * @param \illuminate\contracts\auth\access\gate $gate * @return void */ public function boot(gatecontract $gate) { $this->registerpolicies($gate); }}
编写策略类 策略类生成和注册后,我们可以为授权的每个权限添加方法。例如,我们在 postpolicy中定义一个 update方法,该方法判断给定 user是否可以更新某个 post:
id === $post->user_id; }}
你可以继续在策略类中为授权的权限定义更多需要的方法,例如,你可以定义 show, destroy, 或者 addcomment方法来认证多个 post动作。
注意:所有策略类都通过服务容器进行解析,这意味着你可以在策略类的构造函数中类型提示任何依赖,它们将会自动被注入。
拦截所有检查
有时候,你可能希望对指定用户授予所有权限,在这种场景中,需要使用 before方法定义一个在所有其他授权检查之前运行的回调:
$gate->before(function ($user, $ability) { if ($user->issuperadmin()) { return true; }});
如果 before回调返回一个非空结果,那么该结果则会被当做检查的结果。
检查策略 策略类方法的调用方式和基于授权回调的闭包一样,你可以使用 gate门面, user模型, @can指令或者辅助函数 policy。
通过 gate 门面
gate将会自动通过检测传递过来的类参数来判断使用哪一个策略类,因此,如果传递一个 post实例给 denies方法,相应的, gate会使用 postpolicy来进行动作授权:
can('update', $post)) { //}if ($user->cannot('update', $post)) { //}
在 blade 模板中使用
类似的,blade 指令 @can将会使用参数中有效的策略类:
@can('update', $post) @endcan
通过辅助函数 policy
全局的辅助函数 policy用于为给定类实例接收策略类。例如,我们可以传递一个 post实例给帮助函数 policy来获取相应的 postpolicy类的实例:
if (policy($post)->update($user, $post)) { //}
5、 控制器授权 默认情况下,laravel 自带的控制器基类 app\http\controllers\controller使用了 authorizesrequeststrait,该 trait 提供了可用于快速授权给定动作的 authorize方法,如果授权不通过,则抛出 httpexception异常。
该 authorize方法和其他多种授权方法使用方法一致,例如 gate::allows和 $user->can()。因此,我们可以这样使用 authorize方法快速授权更新 post的请求:
authorize('update', $post); // 更新文章... }}
如果授权成功,控制器继续正常执行;然而,如果 authorize方法判断该动作授权失败,将会抛出 httpexception异常并生成带 403 not authorized状态码的http响应。正如你所看到的, authorize方法是一个授权动作、抛出异常的便捷方法。
authorizesrequeststrait还提供了 authorizeforuser方法用于授权非当前用户:
$this->authorizeforuser($user, 'update', $post);
自动判断策略类方法
通常,一个策略类方法对应一个控制器上的方法,例如,在上面的 update方法中,控制器方法和策略类方法共享同一个方法名: update。
正是因为这个原因,laravel 允许你简单传递实例参数到 authorize方法,被授权的权限将会自动基于调用的方法名进行判断。在本例中,由于 authorize在控制器的 update方法中被调用,那么对应的, postpolicy上 update方法将会被调用:
/** * 更新给定文章 * * @param int $id * @return response */public function update($id){ $post = post::findorfail($id); $this->authorize($post); // 更新文章...}