laravel5.1 -- ACL(Access Control List) Policies篇

最新推荐文章于 2024-09-28 16:31:15 发布
最新推荐文章于 2024-09-28 16:31:15 发布
阅读量107 收藏
点赞数
文章标签: php
原文链接:https://segmentfault.com/a/1190000008897288
版权

Introduction

laravel中,Policies提供了管理授权逻辑以便控制对资源的访问权限。例如,我们可以利用poslicies来确定当前的user是否有修改一篇文章的权限。

生成一个PostPolicy 

$ php artisan make:policy PostPlicy

生成的App/Policies/PostPolicy.php如下

<?php

namespace App\Policies;

use Illuminate\Auth\Access\HandlesAuthorization;

class PostPolicy
{
    use HandlesAuthorization;

    /**
     * Create a new policy instance.
     *
     * @return void
     */
    public function __construct(){
    
    }
}

注册PostPolicy

PostPolicy注册到App/Providers/AuthServiceProvider中,注意要加上注释的编号部分(I,II,III)

<?php
// App/Providers/AuthServiceProvider.php

namespace App\Providers;

use Illuminate\Contracts\Auth\Access\Gate as GateContract;
use Illuminate\Foundation\Support\Providers\AuthServiceProvider as ServiceProvider;

use App\Http\Models\Post;     // I
use App\Policies\PostPolicy;  // II

class AuthServiceProvider extends ServiceProvider
{
    /**
     * The policy mappings for the application.
     *
     * @var array
     */
    protected $policies = [
        'App\Model' => 'App\Policies\ModelPolicy',
        Post::class => PostPolicy::class,  // III
    ];

    /**
     * Register any application authentication / authorization services.
     *
     * @param  \Illuminate\Contracts\Auth\Access\Gate  $gate
     * @return void
     */
    public function boot(GateContract $gate)
    {
        parent::registerPolicies($gate);

        //
    }
}

定义change方法

App/Policies/PostPolicy.php中,定义change方法

<?php
// App/Policies/PostPolicy.php;

namespace App\Policies;

use App\Http\Models\User;
use App\Http\Models\Post;

use Illuminate\Auth\Access\HandlesAuthorization;

class PostPolicy
{
    use HandlesAuthorization;

    /**
     * Create a new policy instance.
     *
     * @return void
     */

    /**
    * Grant all abilities to administrator
    *
    * @param App\Http\Models\User $user
    * @param string $ability
    * @return bool
    */
    public function before($user, $ability){
        if(session('statut') === 'admin'){
            return true;
        }
    }

    /**
    * Determine if the given post can be changed by current user
    *
    * @param App\Http\Models\User $user
    * @param App\Http\Models\Post $post
    * @return bool
    */
    public function change($user, $post){  

        return $user->user()->id === $post->user_id;
    }
}

注意:
1.因为laravel5.1的多用户验证用的是Kbwebs/MultiAuth的,所以,在所有的$user->后面都要加上user(),包括Auth::
2.官方文档中是这样写的

public function update(User $user, Post $post)
    {
        return $user->id === $post->user_id;
    }

update方法中写上了User和Post类,其实写上反而提示错误,不写是对的

3.如果想给adminstrator所有的权限,只需要在PostPolicy.php中添加before方法
如上面所示

控制器验证Policies

<?php
// App/Http/Controllers/Home/BlogController.php

namespace App\Http\Controllers\Home;

use Illuminate\Http\Request;

use App\Policies\PostPolicy;
use App\Http\Controllers\Controller;
use App\Repositories\BlogRepository;

     /**
    * Create BlogRepository instance
    *
    * @var App\Repositories\BlogRepository
    */
    protected $blog_gestion;

    /**
    * Create a new BlogController instance.
    *
    * @param App\Repositories\UserRepository $uesr_gestion
    * @param App\Repositories\BlogRepository $blog_gestion
    * @return void
    */
    public function __construct(UserRepository $user_gestion, BlogRepository $blog_gestion){
        $this->user_gestion = $user_gestion;
        $this->blog_gestion = $blog_gestion;

        $this->middleware('admin', ['only' => 'updateSeen']);
        $this->middleware('ajax', ['only'=> ['updateSeen', 'updateActive']]);
    }
    
    /**
    * Update "active" for the specified resource in storage
    *
    * @param Illuminate\Http\Request $request
    * @param int $id
    * @return Response
    */
    public function updateActive(Request $request, $id){
        
        $post = $this->blog_gestion->getById($id);

        // authorize验证当前用户是否有修改此文章的权限,如果没有,则返回403 Forbidden
        $this->authorize('change', $post);  

        $this->blog_gestion->updateActive($request->all(), $id);

        return response()->json();

    }

App/Repositories/BlogRepository.php中部分代码

/**
    * Update "active" in a post
    * 
    * @param array $data
    * @param int $id
    * @return void
    */
    public function updateActive($data, $id){
        $post = $this->getById($id);

        $post->active = $data['active'] == 'true';

        $post->save();
    }
weixin_34343308
关注
QCC51XX---BLE协议栈全解一就够
weixin_42162924的博客
07-27 953
QCC51XX---BLE协议栈全解一就够
红队专题-Perm权限提升与维持隐匿Privilege Escalation
aming小老弟
10-27 913
高权限不仅能对更多文件进行增删改查的操作,方便进一步收集主机系统中的敏感信息, system权限也可以提取内存中的密码Hash,为进一步的渗透提供更多信息。权限提升是从初始访问权限(通常是标准用户或应用程序帐户)一直提升到administrator, root甚至SYSTEM访问权限的艺术。常见技术或攻击手段来获得高权限帐户访问权限。用于检测和利用不同权限提升技术的手动方法,但会提到可以完成相同工作并节省您一些时间的自动化工具。 完美,它指向我们的有效负载。 使用net(也是默认安装的)启动此服务以获得
Laravel随笔 Policy模型策略
qj4865的博客
03-13 371
生成模型策略文件 编写模型策略文件 // 此处可以只有一个参数,也是默认当前登陆信息 // public function test(Admin $admin) public function test(Admin $admin, Admin $model) { ... } PS:注意,此处第一个参数代表当前登陆的信息,第二个参数代表控制器传过来的模型。 注册模型策略app/Provid...
Laravel中的Policies
weixin_34192732的博客
11-08 268
系统中存在多种或者多个用户的时候,总会涉及到权限的问题。比如说一个多用户博客系统,我们总是希望作者A写的内容,只能作者A来修改而不是其他人来修改。 从5.1.11版本开始,Laravel引入了一个简单的方式来管理授权逻辑以便控制对资源的访问权限。 对于比较简单的场景 如何定义权限 我们可以在AuthServiceProvider定义权限。...
掌握Laravel的策略与授权门面:构建安全的Web应用
2402_85761468的博客
07-16 678
Laravel的策略允许你为模型定义特定的授权规则,而授权门面则提供了一种方便的方式来访问这些策略。在生成的策略类中定义授权方法。在策略类中定义before方法作为默认的授权逻辑。Laravel的策略和授权门面提供了一种强大且灵活的方式来实现应用的授权逻辑。通过本文的详细介绍,你应该已经了解了如何创建和使用策略,以及如何利用授权门面简化视图中的授权检查。希望本文能够帮助你构建更加安全和易于维护的Web应用。以上就是关于Laravel策略和授权门面的详细介绍。
Laravel使用policy完成用户授权
zhouyuqi1的博客
08-25 1968
Laravel 提供了一种更简单的方式来处理用户授权动作。类似用户认证,Laravel 有 2 种主要方式来实现用户授权:gates 和策略(policy)。这里记录一下Policy的用法,使用Policy完成用户授权主要包含三个步骤:定义策略类 注册策略类和模型关联 策略判断 定义策略类策略是在特定模型或者资源中组织授权逻辑的类。例如,如果应用是一个博客,会有一个 Post 模型和一个相应的
laravel 权限控制及验证
weixin_33795743的博客
05-14 2406
之前已经写过了,如果对一些页面进行限制,只有登陆了才可以访问,使用的是Auth认证,其方法是把做好的中间件加再路由上,除了加再路由上,还可以放在控制器中。 再控制器中创建构造方法: public function __construct() {   $this->middleware( ' aurh' , [ ' except' => [ ' show ' ] ] ) } ...
access control 相关
immerarbeiten的博客
08-17 220
自用笔迹
OSCP Learning Notes - Privilege Escalation
weixin_30642561的博客
07-29 4183
Privilege Escalation Download the Basic-pentesting vitualmation from the following website: https://www.vulnhub.com/entry/basic-pentesting-1,216/ 1.Scan the target server using nmap. nmap...
ACL配置实例:如何限制特定IP访问网络
ACL全称为Access Control List(访问控制列表),是一种用于控制网络设备中数据流经过时的访问权限的技术。 ## 1.2 ACL的作用和原理 ACL的作用是通过过滤数据包,实现对网络流量的控制和管理。其原理是根据预先设定...
红队技巧-域渗透的协议利用
Gamma_lab的博客
06-29 2464
1.pth(hash传递) 1.1 PTH简介 哈希传递(pth)攻击是指攻击者可以通过捕获密码的hash值(对应着密码的值),然后简单地将其传递来进行身份验证,以此来横向访问其他网络系统,攻击者无须通过解密hash值来获取明文密码,因为对于每个Session hash值都是固定的,除非密码被修改了(需要刷新缓存才能生效),所以pth可以利用身份验证协议来进行攻击,攻击者通常通过抓取系统的活动内存和其他技术来获取哈希。 1.2 PTH限制 在03之后有了uac,所以本地只有sid 为500和admi
laravel中使用用户授权策略(policy)
奴役人生
01-23 3642
应用场景: 假设本人的用户uid=1吗,现在我想修改个人资料user/1/edit,这时候,当我输入user/2/edit时,也能进入用户为2的个人资料进行修改。在laravel中 public function __construct()     {         $this->middleware('auth', ['except' => ['show']]);     }
进入Policy Control的领域
superlmj的博客
04-17 1330
Policy Control的三方面应用
Laravel技巧集锦(八): 授权策略(Policy)
03-02 933
Policy(即策略)是在特定模型或者资源中组织授权逻辑的类,用来处理用户授权动作。 比如在博客程序中会有一个 Post 模型,这个模型就会有一个相应的 PostPolicy 来对用户的操作进行授权,判断用户是否有该操作的权限。Policy 其实就是将校验的逻辑从控制器转移到相对应的模型策略 (PostPolicy) 中。 1、使用php artisan make:policy PostPol...
BCM交换芯片之L4分析
wangyayayaya的专栏
03-28 3783
1 ContentAware processor 1.1 各厂家的L4功能 交换芯片ACL功能在不同的厂家中有不同的叫法,BCM称为ContentAware processor,Marvell称为Policy Control List(简称PCL),Realtek和Centec称为Access Control List 。 ContentAware Process(CAP)可用于ACL、DSCP、Qos等类型的运用。过滤功能可以作用于10/100/100...
Laravel 学习笔记: 授权策略(Policy)
她和她的猫的博客
07-03 4800
Policy(即策略)是在特定模型或者资源中组织授权逻辑的类,用来处理用户授权动作。
基于php的幸运舞蹈课程工作室管理系统
最新发布
计算机学姐的博客
09-28 1036
【2025最新】基于php+vue+MySQL的幸运舞蹈课程工作室管理系统,前后端分离。
Laravel 5.1 长期支持版:特点与改进
"Laravel 5.1 中文文档提供了详细的框架介绍和更新内容,由 Laravel 学院提供。此版本是 Laravel 的第一个长期支持(LTS)版本,旨在为开发者提供长达两年的 bug 修复和三年的安全修复支持。文档强调了对 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值