laravel 基础教程 —— 授权

授权

简介

laravel 除了提供开箱即用的授权服务,还提供了许多简单的方式来管理授权逻辑和资源的访问控制。这些各式的方法和帮助函数便于你管理你的授权逻辑。我们将在本章中对其进行一一的解读。

定义能力

判断一个用户是否具有执行给定动作的能力的最简单的方式就是使用 Illuminate\Auth\Access\Gate 类去定义相应的能力。laravel 所提供的 AuthServiceProvider 类是定义这些能力的推荐位置。让我们来看个示例,我们定义一个 update-post 的能力,这个能力接收一个当前 User 和一个 Post 模型。在这个能力中,我们需要判断用户的 id 与 post 的 user_id 是否匹配:

<?php

namespace App\Providers;

use Illuminate\Contracts\Auth\Access\Gate as GateContract;
use Illuminate\Foundation\Support\Providers\AuthServiceProvider as ServiceProvider;

class AuthServiceProvider extends ServiceProvider
{
  /**
   * Register any application authentication / authorization services.
   *
   * @param \Illuminate\Contracts\Auth\Access\Gate $gate
   * @return void
   */
   public function boot(GateContract $gate)
   {
     $this->registerPolicies($gate);

     $gate->define('update-post', function ($user, $post) {
       return $user->id === $post->user_id;
     });
   }
}

注意上面的示例中我们并没有检查所给定的 $user 是否为 NULL。这是因为当给定的用户没有经过认证或者用户没有经过 forUser 方法指定,Gate 类会自动的为所有的能力返回 false

基于类的能力

除了使用 Closures 的方式作为授权检查的回调来注册能力,你还可以通过传递类中的方法来进行能力的注册,当需要的时候,类会通过服务容器来解析:

$gate->define('update-post', 'Class@method');

授权检查拦截器

有时候,你可能需要向某些特殊用户发放所有能力的通行证,这个时候,你可以使用 before 方法来定义一个回调,它会在所有的授权检查之前运行:

$gate->before(function ($user, $ability) {
  if ($user->isSuperAdmin()) {
    return true;
  }
});

如果 before 的回调函数返回一个非空的结果,那么该结果将作为检查的结果。

你也可以使用 after 方法来定义一个在每个能力授权检查之后执行的回调函数,但是,你不能在这个回调函数内修改检查的结果:

$gate->after(function ($user, $ability, $result, $arguments) {
  //
});

检查能力

通过 Gate 假面

一旦一个能力被定义完成,我们就可以通过多种方式来进行能力的检查。首先,我们可以使用 Gate 假面的 checkallows,或者 denies 方法。所有的这些方法都会接收能力的名称,并且会把额外的参数传递给相应能力的回调函数中。你并不需要传递当前的用户到这些方法中,Gate 会自动的前置当前用户到参数中并传递给能力的回调函数。所以当我们检查早前定义的 update-post 能力时,我们只需要传递 Post 的实例到 denies 方法中就可以了:

<?php

namespace App\Http\Controllers;

use Gate;
use App\User;
use App\Post;
use App\Http\Controllers\Controller;

class PostController extends Controller
{
  /**
   * Update the given post.
   *
   * @param int $id
   * @return Response
   */
   public function update($id)
   {
     $post = Post::findOrFail($id);

     if (Gate::denies('update-post', $post)) {
        abort(403);
     }

     // Update Post ...
   }
}

当然,allows 方法与 denies 相反,如果动作被授权通过则返回 true. check 方法就是 allows 方法的别名。

对指定的用户检查能力

如果你想要使用 Gate 假面来检查非当前经授权通过用户的其他用户是否具备相应的能力,你可以使用 forUser 方法:

if (Gate::forUser($user)->allows('update-post', $post)) {
  //
}

传递多个参数

当然,能力的回调函数可以接收多个参数:

Gate:define('delete-comment', function ($user, $post, $comment) {
  // 
});

如果你的能力需要接收多个参数,你可以简单的通过 Gate 假面的方法进行传递一个经多个参数所组成的数组:

if (Gate::allows('delete-comment', [$post, $comment])) {
  //
}

通过用户模型检查能力

事实上,你可以通过 User 模型的实例来检查用户的能力。默认的 laravel 的 App\User 模型使用了 Authorizable trait,这个性状包含两个方法:cancannot。这两个方法和 Gate 假面的 allowsdenies 方法的用法相同。我们还使用上面曾使用过的例子,修改成如下:

<?php

namespace App\Http\Controllers;

use App\Post;
use Illuminate\Http\Request;
use App\Http\Controllers\Controller;

class PostController extends Controller
{
  /**
   * Update the given post.
   *
   * @param \Illuminate\Http\Request $request
   * @param int $id
   * @return Response
   */
   public function update(Request $request, $id)
   {
     $post = Post::findOrFail($id);

     if ($request->user()->cannot('update-post', $post)) {
       abort(403);
     }

     // Update Post...
   }
}

当然,can 方法与 cannot 的相反:

if ($request->user()->can('update-post', $post)) {
  // Update Post...
}

在 Blade 模板中检查能力

为了方便,laravel 提供了 @can Blade 指令来快速的检查当前授权的用户是否具有指定的能力。比如:

<a href="/post/{{ $post->id }}">View Post</a>

@can('update-post', $post)
  <a href="/post/{{ $post->id }}/edit">Edit Post</a>
@endcan

你也可以通过 @else 指令来配合 @can 指令:

@can('update-post', $post)
  <!-- The Current User Can Update The Post -->
@else
  <!-- The Current User Can't Update The Post -->
@endcan

在表单请求中检查能力

你也可以通过使用表单请求(继承自 Request,用于表单验证的请求类)中自定义的 authoriza 方法来验证 Gate 假面中定义的能力:

/**
 * Determine if the user is authorized to make this request.
 *
 * @return bool
 */
 public function authorize()
 {
   $postId = $this->route('post');

   return Cate::allows('update', Post::findOrFail($postId));
 }

策略(Policies)

创建策略

为了不让你把所有的授权逻辑全部放进 AuthServiceProvider 从而使应用增长为一个庞大而笨重的应用。 laravel 允许你通过 Policy 类来分离你的授权逻辑。策略类其实就是一个包含授权逻辑组的原生 PHP 类。

首先,让我们来生成一个策略来管理我们的 Post 的授权。你可以通过 make:policy 命令来生成一个策略。所生成的策略会存放在 app/Policies 目录:

php artisan make:policy PostPolicy

注册策略

一旦策略存在,我们还需要在 Gate 类中进行注册。在 AuthServiceProvider 中包含了一个 policies 属性,该属性存放所有实体与策略间的映射。所以,我们需要将 Post 模型的策略指定到 PostPolice 类:

<?php

namespace App\Providers;

use App\Post;
use App\Policies\PostPolicy;
use Illuminate\Foundation\Support\Providers\AuthServiceProvider as ServiceProvider;

class AuthServiceProvider extends ServiceProvider
{
  /**
   * The policy mappings for the application.
   *
   * @var array
   */
   protected $policies = [
     Post::class => PostPolicy::class,
   ];

   /**
    * Register any application authentication / authorization services.
    * 
    * @param \Illuminate\Contracts\Auth\Access\Gate $gate
    * @return void
    */
    public function boot(GateContract $gate)
    {
      $this->registerPolicies($gate); 
    }
}

编写策略

一旦策略被生成和注册后,我们就可以为所有能力的授权添加验证方法。例如,让我们在 PostPolicy 类中定义一个 update 方法,用来验证所给定的用户是否具有 update Post 的能力:

<?php

namespace App\Policies;

use App\Uesr;
use App\Post;

class PostPolicy
{
  /**
   * Determine if the given post can be updated by the user.
   *
   * @param \App\User $user
   * @param \App\Post $post
   * @return bool
   */
   public function update(User $user, Post $post)
   {
     return $user->id === $post->user_id;
   }
}

你可以继续在策略中添加其他所需进行授权验证的方法。比如,你可以继续为验证 Post 的各种动作而定义 showdestroy,或者 addComment 方法。

注意:所有的策略类都是通过服务容器解析而来。这意味着你可以使用类型提示来在策略类的构造函数中进行依赖注入所需要的依赖。

拦截所有检查

有时候,你可能需要发放给指定用户具有所有能力的通行证,这时候,你可以在策略类中定义 before 方法。该方法会在策略中其他所有方法被执行前运行:

public function before($user, $ability)
{
  if ($user->isSuperAdmin()) {
    return true;
  }
}

如果 before 方法返回一个非空值,那么其结果将会用来作为授权验证的结果的判断依据。

检查策略

策略类的方法和基于授权回调的方法一样通过相同的方式作为 Closure 被调用。你可以使用 Gate 假面,User 模型,@can Blade 指令或者 policy helper 来进行授权的检查。

通过 Gate 假面

Gate 会通过检查传递给方法中参数的类型来确定应该使用哪一种策略。所以,如果我们传递 Post 实例到 denies 方法,Gate 将会自动的使用相对应的 PostPolicy 来进行授权验证:

<?php

namespace App\Http\Controllers;

use Gate;
use App\User;
use App\Post;
use App\Http\Controllers\Controller;

class PostController extends Controller
{
  /**
   * Update the given post.
   * 
   * @param int $id
   * @return Response
   */
   public function update($id)
   {
     $post = Post::findOrFail($id);

     if (Gate::denies('update', $post)) {
       abort(403);
     }

     // Update Post...
   }
}

通过用户的模型

User 模型中的 cancannot 方法也会在所给定参数可用时自动匹配相应的策略。这些方法提供了一种便利的方式去验证任意用户实例是否具有所给定的能力:

if ($user->can('update', $post)) {
  //
}

if ($user->cannot('update', $post)) {
  //
}

通过 Blade 模板

就像我们所期望的,@can Blade 指令会在所给定参数可用时自动匹配相应的策略:

@can('update', $post)
  <!-- The Current User Can update The Post -->
@endcan
```

**通过策略 Helper**

全局帮助方法 `policy` 可以通过所给定的类解析相应的 `Policy` 类。例如,我们可以传递一个 `Post` 实例到 `policy` 帮助方法,该方法会返回相应的 `PostPolicy` 类:

```php
if (policy($post)->update($user, $post)) {
  //
}
```

## 控制器授权

默认的,在 laravel 中基于 `Ap\Http\Controllers\Controller` 的类都引入了 `AuthorizesRequests` trait(性状)。该性状提供了 `authorize` 方法来快速的验证所给定的动作是否有执行的能力,如果不具备相应的能力会抛出一个 `HttpException` 。

`authorize` 方法共享了其它授权方法的签证方式,如 `Gate::allows` 和 `$user->can()`。那么,让我们来使用 `authorize` 方法快速的鉴别一个请求是否具有更新 `Post` 的能力:

```php
<?php

namespace App\Http\Controllers;

use App\Post;
use App\Http\Controllers\Controller;

class PostController extends Controller
{
  /**
   * Update the given post.
   *
   * @param int $id
   * @return Response
   */
   public function update($id)
   {
     $post = Post::findOrFail($id);

     $this->authorize('update', $post);

     // Update Post...
   }
}
```

如果这个动作通过了授权,控制器将继续执行下面的逻辑。否则会自动的抛出一个 `HttpException` 错误,这个错误会生成一个 `403 Not Authorized` 的 Http 响应。就如你所看到的, `authorize` 方法是一个非常方便的方法,它的方便之处就在于只使用一条语句执行了授权的验证或抛出异常。

`AuthorizeRequests` trait 也提供了 `authorizeForUser` 方法来进行非当前用户的用户与给定能力的鉴权:

```php
$this->authorizeForUser($user, 'update', $post);
```

**自动的确定策略方法**

通常的,策略类中的方法是与控制器中的方法相对应的。比如在上面的 `update` 方法中,控制器的方法和策略的方法使用了相同的命名: `update`。

由于这个原因,laravel 允许你通过简单的传递一个实例参数到 `authorize` 方法,在能力的鉴定中,laravel 会根据当前方法的命名自动的确定策略方法的调用。在上面的例子中,由于 `authorize` 方法是在控制器中的 `update` 方法中调用的,所以 `PostPolicy` 中的 `update` 将会被调用:

```php
/**
 * Update the given post.
 * 
 * @param int $id
 * @return Response
 */
 public function update($id)
 {
   $post = Post::findOrFail($id);

   $this->authorize($post);

   // Update Post...
 }
```




















最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 203,547评论 6 477
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 85,399评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 150,428评论 0 337
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,599评论 1 274
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,612评论 5 365
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,577评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,941评论 3 395
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,603评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,852评论 1 297
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,605评论 2 321
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,693评论 1 329
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,375评论 4 318
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,955评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,936评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,172评论 1 259
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 43,970评论 2 349
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,414评论 2 342

推荐阅读更多精彩内容

  • 1、简介 除了提供开箱即用的认证服务之外,Laravel 还提供了一个简单的方式来管理授权逻辑以便控制对资源的访问...
    Yaococo88阅读 1,991评论 0 0
  • Spring Cloud为开发人员提供了快速构建分布式系统中一些常见模式的工具(例如配置管理,服务发现,断路器,智...
    卡卡罗2017阅读 134,585评论 18 139
  • 原文链接 必备品 文档:Documentation API:API Reference 视频:Laracasts ...
    layjoy阅读 8,602评论 0 121
  • Android 自定义View的各种姿势1 Activity的显示之ViewRootImpl详解 Activity...
    passiontim阅读 171,401评论 25 707
  • 塔青只是一个名字,与《和田玉》这个名字一样也分“狭义”和“广义”。狭义塔青产自新疆塔什库尔干塔吉克自治县,简称“塔...
    hty770阅读 2,518评论 0 0