Laravel 5.1 学习 之 授权

最新推荐文章于 2024-07-30 20:21:28 发布
最新推荐文章于 2024-07-30 20:21:28 发布
阅读量2.2k 收藏
点赞数
分类专栏: 服务端开发 文章标签: 框架 laravel
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/guoshenglong11/article/details/50765430
版权

好久没写blog了!大家好,我是stefan,中断了半年多的blog今天开始重新运营啦!,废话不多说,开始laravel 5.1 授权的学习吧!


介绍


除了提供了认证服务,Laravel还提供了一个组织授权逻辑和资源访问控制的简单方法。它提供了非常多的方法和辅助函数来帮助你组织认证逻辑,这篇文章将会一一阐述。


(备注:授权服务是5.1.11补充进来的,在整合之前请参考你对应的的框架升级指南)


定义功能


判断用户是否可以执行给定的接口最简单的方法就是使用定义

Illuminate\Auth\Access\Gate
类来定义一个功能。Laravel服务中附带的 AuthServiceProvider可以方便的定义应用需要的所有能力。例如,定义一个update-post能力来接受当前用户和一个Post模型,在能力的定义中,我们可以判断当前用户的id是否匹配post过来的user_id: 

<?php

namespace App\Providers;

use Illuminate\Contracts\Auth\Access\Gate as GateContract;
use Illuminate\Foundation\Support\Providers\AuthServiceProvider as ServiceProvider;

class AuthServiceProvider extends ServiceProvider
{
    /**
     * Register any application authentication / authorization services.
     *
     * @param  \Illuminate\Contracts\Auth\Access\Gate  $gate
     * @return void
     */
    public function boot(GateContract $gate)
    {
        $this->registerPolicies($gate);


        $gate->define('update-post', function ($user, $post) {
            return $user->id === $post->user_id;
        });
    }
}
注意,我们不会检查$user是否不为空,Gate会自动检查所有能力是否有未认证用户或者没有特殊声明的特殊用户使用forUser方法,如果有就返回false。


类基本能力


处理注册闭包作为回调,你还可以通过包含类名和方法名的字符串注册类方法,当需要用的时候,会将其取出服务容器取出。

$gate->define('update-post', 'Class@method');

拦截授权检查

有时,你可能希望授权向一个特殊的用户授权所有的能力。在这种情况下,使用before方法来定义一个回调,这个回调将先于所有的授权检查执行:

$gate->before(function ($user, $ability) {
    if ($user->isSuperAdmin()) {
        return true;
    }
});

如果before回调返回一个非空的结果,这个结果将会被认为是授权检查的结果。

(备注;before方法其实就是超级管理员授权,覆盖所有的授权检查)


你也可能会使用after防范来定义一个回调,这个回调将在所有授权检查结束后执行。然而,你无法通过after方法来改变之前的授权检查:

$gate->after(function ($user, $ability, $result, $arguments) {
    //
});

检查能力


通过Gate 外观件

一旦能力被定义好了,我们可以通过许多方法来检查它。首先,我们可以通过Gate外观件上的 check、allows、denies 方法

。所有的这些方法接收能力的名称和应该传递给能力回调的参数。Gate外观件会自动的将当前用户传递给回调,因此你不必传递当前的用户给这些方法。所有当我们检查我们早先定义的update-post能力时,我们只需要传递post实例给denies方法:


<?php

namespace App\Http\Controllers;

use Gate;
use App\User;
use App\Post;
use App\Http\Controllers\Controller;

class PostController extends Controller
{
    /**
     * Update the given post.
     *
     * @param  int  $id
     * @return Response
     */
    public function update($id)
    {
        $post = Post::findOrFail($id);

        if (Gate::denies('update-post', $post)) {
            abort(403);
        }

        // Update Post...
    }
}

当然,allows方法只是简单的将denies方法反转,如果接口授权成功返回true。check方法是allows方法的别名。


检查特殊用户的能力


如果你想要使用Gate外观件来检查非当前用户的其他用户是否含有给定的能力,你可以使用foruser方法:

if (Gate::forUser($user)->allows('update-post', $post)) {
    //
}

传递多个参数

当然,能力回调可以接收多个参数:

Gate::define('delete-comment', function ($user, $post, $comment) {
    //
});
如果你的能力需要多个参数,直接用参数数组传递给Gate方法: 

if (Gate::allows('delete-comment', [$post, $comment])) {
    //
}
通过用户模型


另一方面,你也可以通过User模型实例来检查能力,默认情况下,Laravel的App\User模型使用一个Authorizable的trait提供了两个方法:can和cannot,

这些方法的使用和Gate外观件提供的allows以及denies类似。因此,应用我们之前的例子,代码可以做如下修改:

<?php

namespace App\Http\Controllers;

use App\Post;
use Illuminate\Http\Request;
use App\Http\Controllers\Controller;

class PostController extends Controller
{
    /**
     * Update the given post.
     *
     * @param  \Illuminate\Http\Request  $request
     * @param  int  $id
     * @return Response
     */
    public function update(Request $request, $id)
    {
        $post = Post::findOrFail($id);

        if ($request->user()->cannot('update-post', $post)) {
            abort(403);
        }

        // Update Post...
    }
}

当然,can方法简单的反转了cannot方法:

if ($request->user()->can('update-post', $post)) {
    // Update Post...
}
使用blade模板

为了方便起见,Laravel提供了@can blade可以直接的检查当前已认证用户是否有给定能力,例如:

<a href="/post/{{ $post->id }}">View Post</a>

@can('update-post', $post)
    <a href="/post/{{ $post->id }}/edit">Edit Post</a>
@endcan
你可能会配合@else来使用@can: 

@can('update-post', $post)
    <!-- The Current User Can Update The Post -->
@else
    <!-- The Current User Can't Update The Post -->
@endcan
使用表单请求


你还可以选择使用来自表单请求认证方法中的Gate外观件定义的能力。(不是很清楚)。例如:

/**
 * Determine if the user is authorized to make this request.
 *
 * @return bool
 */
public function authorize()
{
    $postId = $this->route('post');

    return Gate::allows('update', Post::findOrFail($postId));
}
策略


创建策略


如果将你所有的授权逻辑都放在AuthServiceProvider里面,那复杂的应用得写多少行代码呀!Laravel提供了让你分离这些授权逻辑的防范:通过将授权逻辑分离岛”Policy“类中。policies是一些平滑的PHP类,它们基于它们的授权组织起了整个授权逻辑。

首先,让我们来生成一个策略来管理Post模型中的授权。你可以通过make:policy 的 artisan命令行来生成策略类。生成的策略文件将存放在app/Policies目录下面:


php artisan make:policy PostPolicy
注册Policies


一旦策略存在,我们需要在Gate类中注册它。AuthServiceProvider包含一个Policies属性,这个属性指向了多个管理策略的实例子

。因此,我们将PostPolicy类注册为Post模型的策略类:


<?php

namespace App\Providers;

use App\Post;
use App\Policies\PostPolicy;
use Illuminate\Foundation\Support\Providers\AuthServiceProvider as ServiceProvider;

class AuthServiceProvider extends ServiceProvider
{
    /**
     * The policy mappings for the application.
     *
     * @var array
     */
    protected $policies = [
        Post::class => PostPolicy::class,
    ];

    /**
     * Register any application authentication / authorization services.
     *
     * @param  \Illuminate\Contracts\Auth\Access\Gate  $gate
     * @return void
     */
    public function boot(GateContract $gate)
    {
        $this->registerPolicies($gate);
    }
}

撰写策略


一旦策略被生成和注册,你就可以为每个需要授权的能力来添加方法。例如,在PostPolicy类上定义update方法,决定是否给定的用于可以更新一个Post:

<?php

namespace App\Policies;

use App\User;
use App\Post;

class PostPolicy
{
    /**
     * Determine if the given post can be updated by the user.
     *
     * @param  \App\User  $user
     * @param  \App\Post  $post
     * @return bool
     */
    public function update(User $user, Post $post)
    {
        return $user->id === $post->user_id;
    }
}
你可以继续在策略中定义自定义的方法来处理多个需授权的能力。例如,你可以定义诸如show、destroy、addComment等方法来授权多个Post接口。

备注:所有的策略都是通过Laravel的服务容器来取得的,这意味着框架会将自动诸如需要的依赖到你的policy构造函数中。


拦截所有的检查


上文提到了需要授权所有能力给特殊用户的情况,使用策略同样可以达到这个目的;未使用时,我们通过Gate外观件来调用before方法来实现,现在,我们可以直接在policy类中重写before方法,通过它来拦截所有的检查:

public function before($user, $ability)
{
    if ($user->isSuperAdmin()) {
        return true;
    }
}

如果before返回一个非空的结果,那么将被认为是检查的最终结果。


检查策略


策略方法方法其实和闭包回调授权方法是同样的调用方式。你可以使用Gate外观件,或者User模型,或者直接@can blade模板,或policy辅助函数。


通过Gate外观件

Gate外观件将通过检查参数中的类来自动决定使用哪个策略。因此,如果我们传递一个Post实力给denies方法,Gate外观件将使用相对于的PostPolicy策略来授权接口:

<?php

namespace App\Http\Controllers;

use Gate;
use App\User;
use App\Post;
use App\Http\Controllers\Controller;

class PostController extends Controller
{
    /**
     * Update the given post.
     *
     * @param  int  $id
     * @return Response
     */
    public function update($id)
    {
        $post = Post::findOrFail($id);

        if (Gate::denies('update', $post)) {
            abort(403);
        }

        // Update Post...
    }
}
通过用户模型


User模型的can和cannot方法当给定参数是可用的情况下会自动使用策略类。这些方法提供了一个简单方便的方法去授权应用程序中任何用户的接口。

if ($user->can('update', $post)) {
    //
}

if ($user->cannot('update', $post)) {
    //
}

使用Blade模板

通上文,Blade将会在参数可用的情况下自动使用策略类。


@can('update', $post)
    <!-- The Current User Can Update The Post -->
@endcan
通过策略辅助方法

全局的polity辅助函数可以被用来为给定类实例获取Policy类。例如,我们可以通过传递一个Post的实例给policy辅助函数来获取相对应的Postpolicy

类:

if (policy($post)->update($user, $post)) {
    //
}
控制器授权

默认的,控制器基类App\Http\Controllers\Controller类中就包含了AuthorizeRequests的Trait。这个trait提供了authorize方法,这个方法可以被用来快速的授权一个给定的接口并在接口未通过授权时抛出HttpException异常。

authorize方法其实和上文提到的Gate::allows以及$user->can()等方法类似,因此我们来利用authorize方法快速的授权一个请求来更新Post:


<?php

namespace App\Http\Controllers;

use App\Post;
use App\Http\Controllers\Controller;

class PostController extends Controller
{
    /**
     * Update the given post.
     *
     * @param  int  $id
     * @return Response
     */
    public function update($id)
    {
        $post = Post::findOrFail($id);

        $this->authorize('update', $post);

        // Update Post...
    }
}
如果这个接口被授权通过,那么控制器将会继续执行,如果authorize这个方法判断没有授权通过,将会抛出一个HttpException异常,这个异常将生成一个状态码味403 not  authorized的HTTP响应。这样看来,这个authorize方法是挺方便的,能够快速的授权一个接口或者抛出一个单行状态码的异常。


AuthorizeRequests trait同样提供authorizeForUser方法来授权非当前授权用户的的请求:

$this->authorizeForUser($user, 'update', $post);
自动判断策略方法(不常用)

经常性的,一个策略方法对应一个控制器上的方法。例如,在update方法上,控制器方法和策略方法拥有同样的名字:update。

正是由于这个原因,Laravel允许你去简单的传递一个实例参数给authorize方法,检测授权的能力将会自动的判断调用函数的名字,

/**
 * Update the given post.
 *
 * @param  int  $id
 * @return Response
 */
public function update($id)
{
    $post = Post::findOrFail($id);

    $this->authorize($post);

    // Update Post...
}

瑟龙
关注
专栏目录
laravel-gallery:使用Laravel 5.1的简单照片库
05-22
8. **授权与权限控制**:Laravel授权系统可以通过政策或门面来管理用户对资源的操作权限。在照片库中,可以定义一个照片政策,决定用户是否可以查看、编辑或删除特定照片。 9. **Elixir与Gulp**:Laravel Elixir...
Laravel5.1 框架模型工厂ModelFactory用法实例分析
10-15
针对Laravel框架的进阶学习,可以参考本站提供的专题文章,如《Laravel框架入门与进阶教程》、《PHP优秀开发框架总结》、《PHP面向对象程序设计入门教程》、《PHP+MySQL数据库操作入门教程》和《PHP常见数据库操作...
laravel用户授权
王道长的技术博客
09-06 212
一、gate 二、policy
Laravel 速查表 Auth
六月的雨
06-12 635
用户认证 // 获取 Auth 对象,等同于 Auth Facade auth(); // 判断当前用户是否已认证(是否已登录) Auth::check(); // 判断当前用户是否未登录,与 check() 相反 Auth::guest(); // 获取当前的认证用户 Auth::user(); // 获取当前的认证用户的 ID(未登录情况下会报错) Auth::id(); // 通过给定的...
掌控授权的艺术:Laravel自定义策略模式深度解析
最新发布
2401_85842555的博客
07-30 668
在现代Web应用开发中,权限管理是核心功能之一。Laravel框架通过其策略模式提供了一种优雅的方式来处理授权问题。然而,随着应用的复杂性增加,内置的策略可能不足以满足所有需求。这时,自定义策略模式就显得尤为重要。本文将深入探讨Laravel中的自定义策略模式,并通过代码示例展示如何实现这一高级特性。策略是定义在特定模型上的授权逻辑的类。自定义策略模式是指根据特定需求扩展或修改策略的行为。
laravel Policy用户授权
king2wang的博客
09-25 335
1.创建策略 通过artisan命令 php arisan make:policy ArticlePolicy 在app/Policies下创建了一个ArticlePolicy.php文件,给授权策略添加destroy方法 (也可定义 show、destroy 或 addComment 方法来授权 Article 的多种行为。) public function destroy(Admin...
laravel 授权、用户验证
weixin_30716141的博客
04-13 156
记录帖一、授权只允许管理员删除用户,给管理员授权时,可以这样做,首先:创建UserPolicy类:php artisan make:policy UserPolicy然后在UserPolicy中添加destroy方法app/policies/UserPolicy.php<?phpnamespace App\Policies;use App\Model\User;use Illu...
管理系统系列--基于laravel5.1写的图书管理系统.zip
02-26
《管理系统系列--基于Laravel 5.1写的图书管理系统》是一个综合性的项目,它展示了如何利用流行的PHP框架Laravel 5.1来构建一个高效、...这个项目对于学习和理解Laravel框架以及Web应用开发流程具有很高的实践价值。
room-booking-system:使用Laravel 5.1创建的房间预订系统
03-11
安全性方面,Laravel授权(Policies)和中间件可以确保只有授权用户才能查看、编辑或删除他们的预订。另外,使用CSRF保护、URL签名等手段防止跨站请求伪造。 测试是任何项目不可或缺的一部分。Laravel内置了...
laraShop:基于Laravel 5.1的购物系统
05-22
Laravel 5.1 版本在 2015 年发布,它是 Laravel 5 的稳定版本,提供了许多改进和新特性,包括更强大的依赖注入、Eloquent ORM 的优化以及对 Homestead 集成开发环境的支持。 在 `laraShop` 这个项目中,我们可以...
Laravel用户授权系统的使用方法示例
12-19
前言 本文主要给大家介绍的是关于Laravel用户授权系统使用的相关内容 首先两个概念分清楚: 用户身份认证 Authentication – 处理用户登录, 退出, 注册, 找回密码, 重置密码, 用户邮箱认证 etc.. 权限管理 Authorization – 负责 用户 与 权限, 用户组 三者之间的对应, 以及管理. 下面话不多说了,来一起看看详细的介绍吧 基本用法 示例 $this->authorize('update', $post); 第一个参数 $ability,表示具备什么权限。第二个参数 $post,是一个模型实例。 不需指定模型的动作,比如 create,不需要指
PHP框架Laravel中如何实现用户认证和授权
CarlHosea的博客
04-22 562
门禁系统则提供了一种更灵活的方式来定义授权逻辑,你可以根据用户的角色和权限来允许或拒绝访问特定的资源或执行特定的操作。例如,你可以在用户模型中添加一个 roles 方法来返回用户的角色集合,并在角色模型中添加一个 permissions 方法来返回角色的权限集合。通过内置的 Auth 系统和第三方包的支持,你可以轻松地构建安全的应用程序,并控制用户对资源的访问和操作权限。在实际开发中,你可以根据自己的需求选择合适的方案来实现用户认证和授权功能,并遵循最佳实践来确保应用程序的安全性。
PHP框架Laravel中如何实现用户权限管理
Emmanueloldsmith的博客
04-22 605
同时,通过扩展和自定义Laravel的权限系统以及注意安全性考虑,你可以确保你的权限管理系统能够满足特定的需求并保护应用程序的安全性。通过定义权限和角色、将角色分配给用户、检查用户权限以及使用中间件和视图层面的控制,你可以在Laravel应用程序中实现灵活且安全的权限管理。其次,在检查用户权限时,Laravel会考虑用户所有的角色,并检查这些角色关联的所有权限。例如,你可以有一个“基础用户”角色,它包含一些基本的权限,然后有一个“高级用户”角色,它继承了“基础用户”的所有权限,并添加了额外的权限。
Laravel 5.1 中的ACL用户授权及权限检查功能实现教程
luyaran的博客
12-09 1156
1、引言 Laravel提供的开箱即用的认证功能使得用户注册、登录、退出和密码重置变得便捷和简单。 但是如果你需要控制访问站点特定部分,或者让非管理员打开/关闭特定页面,又或者确保某些用户只能编辑自己发布的东西(如文章),那么 你就需要引入类似BeatSwitch Lock这样的工具或者自己手动编写这样的功能。我们将这样的功能称之为ACL:Access Control Lists(访问控制
如何在 Laravel 中使用用户授权: gate, policy 还是 role 和 permission?
qq_35574191的博客
03-30 728
     Laravel 文档描述了授权访问应用程序的多种工具,并详细介绍了如何创建、构造和应用这些授权机制。 然而,它只浅显地给出了一些说明和示例。 这是因为每个应用程序都是不同的,选择用哪种授权方式可能是很主观的。 我稍后描述的一个软件包,Spatie 的 Laravel Permission,也遵循着相同的路径。 它确保能与 Laravel 整合,并提供强大的功能,但通常仅会提供一些指导。       那么,如何决定使用哪种授权方式呢? 是使用 Laravel 内置的 gate 或者 policy,
php产品授权系统使用说明,Laravel用户授权系统的使用方法示例
weixin_35462155的博客
03-11 242
前言本文主要给大家介绍的是关于Laravel用户授权系统使用的相关内容首先两个概念分清楚:用户身份认证 Authentication - 处理用户登录, 退出, 注册, 找回密码, 重置密码, 用户邮箱认证 etc..权限管理 Authorization - 负责 用户 与 权限, 用户组 三者之间的对应, 以及管理.下面话不多说了,来一起看看详细的介绍吧基本用法示例$this->autho...
授权策略(authorize方法)
Mmj_mmj的博客
01-04 1445
授权策略(authorize方法)
laravel authorize(授权)
weixin_30535913的博客
10-01 589
1.方法一 直接在AuthServiceProvider 中定义闭包,比较灵活 namespace App\Providers; ... class AuthServiceProvider extends ServiceProvider { ... public function boot(GateContract $gate) { par...
Laravel使用policy完成用户授权
weixin_30518397的博客
08-22 140
Laravel 提供了一种更简单的方式来处理用户授权动作。类似用户认证,Laravel 有 2 种主要方式来实现用户授权:gates 和策略(policy)。 这里记录一下Policy的用法,使用Policy完成用户授权主要包含三个步骤: 定义策略类 注册策略类和模型关联 策略判断 定义策略类 策略是在特定模型或者资源中组织授权逻辑的类。例如,如果应用是一个博客,会有一个Po...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值