Laravel 中使用路由控制权限(不限于 Laravel,只是一种思想)

2018-03-27 12:59:28 +08:00
 DavidNineRoc

Start

权限设计是后台管理很重要的一个功能,所以要好好设计。 PHP 已经有很多这方面的packages了,就不用我们重复造轮子了。当然,如果你愿意可以从头开始~


PS

以前做权限认证的方式有好几种,我说说常用的两种吧!

  1. 每一个页面认证当前需要的权限一次
  2. 在统一的地方(中间件)验证 先上一下简单的表结构(只保留重要的信息)数据库的模型 ER 图 (ps:这个设计中,用户不会直接拥有权限,只能通过角色继承权限。有很多packages会提供用户可以直接拥有权限功能)

Model

模型关联关系处理:

  1. User 模型
<?php

namespace App\Models;

use Illuminate\Notifications\Notifiable;
use Illuminate\Foundation\Auth\User as Authenticatable;

class User extends Authenticatable
{
    use Notifiable;
	
    /**
     * The attributes that should be hidden for arrays.
     *
     * @var array
     */
    protected $hidden = [
        'password', 'remember_token',
    ];

	// 用户和角色的模型关联关系
    public function roles()
    {
        return $this->belongsToMany(Role::class);
    }
	
	/****************************************
	* 封装一个方法方便使用
	* 1. 需要的权限
	* 2. 遍历当期那用户拥有的所有角色
	* 3. 再通过角色判断是否有当前需要的权限
	****************************************/
	public function hasPermission($permissionName)
	{
		foreach ($this->roles as $role) {
			if ($role->permisssions()->where('name', $permissionName)->exists()) {
				return true;;
			}
		}
		
		return false;
	}
}

  1. Role 模型
<?php

namespace App\Models;

class Role extends Model
{
	// 用户和角色的模型关联关系
    public function users()
    {
        return $this->belongsToMany(User::class);
    }
	
	// 角色和权限的模型关联关系
	public function permissions()
    {
        return $this->belongsToMany(Permission::class);
    }
}
  1. Permission 模型
<?php

namespace App\Models;

class Role extends Model
{
	// 角色和权限的模型关联关系
    public function roles()
    {
        return $this->belongsToMany(Role::class);
    }
}

Database Seed

########################################
# users:
+-------+---------+-----------+
| id    | name    |  password |
+-----------------+-----------+
|   1   |  gps    |  123456   |
+-----------------+-----------+
|   2   |  david  |  123456   |
+-----------------+-----------+
########################################
# roles:
+-------+---------+
| id    | name    |
+-----------------+
|   1   |  admin  |
+-----------------+
########################################
# permissions:
+-------+-----------------+
| id    |       name      |
+-------------------------+
|   1   | create_product  |
|   2   | delete_product  |
+-------------------------+
########################################
# role_user (用户 gps 拥有 admin 角色身份)
+---------+---------+
| role_id | user_id |
+---------+---------+
|   1     |   1     |
+------------------+
########################################
# permission_role (角色 admin 拥有创建商品和删除商品的权限)
+---------+---------------+
| role_id | permission_id |
+---------+---------------+
|   1     |      1        |
|   1     |      2        |
+-------------------------+

First

第一种大概介绍一下:

<?php

namespace App\Http\Controllers;

use App\Models\Product;

class ProductsController extends Controller
{
    public function store(Request $request)
    {
		// 判断当前登录的用户是否有权限
		if (! $request->user()->hasPermission('create_product')) {
			abort(403);
		}
		
		// do something
		
        return back()->with('status', '添加商品成功');
    }


    public function destroy(Product $product)
    {
		// 判断当前登录的用户是否有权限
		if (! $request->user()->hasPermission('delete_product')) {
			abort(403);
		}
		
		// do something
		
        return back()->with('status', '删除商品成功');
    }
}

Two

通过上面的代码我们可以看到,即使封装了权限验证的代码,还是要在不同的方法进行验证,而且可扩展性不高,这时候我们只需要在权限表加一个字段,就可以解决问题

1. permissions (加多一个 route 字段, 如果不在 laravel 中使用,可以加一个 url 字段匹配)
+-------+------------------+------+-----+---------+----------------+
| Field | Type             | Null | Key | Default | Extra          |
+-------+------------------+------+-----+---------+----------------+
| id    | int(10) unsigned | NO   | PRI | NULL    | auto_increment |
| name  | varchar(191)     | NO   |     | NULL    |                |
| route | varchar(191)     | NO   |     | NULL    |                |
+-------+------------------+------+-----+---------+----------------+
2. 这时候插入数据的时候,我们只要做好相关的录入
+-------+-----------------+------------------+
| id    |       name      |      route       |
+-------------------------+------------------+
|   1   | create_product  | products.store   |
|   2   | delete_product  | products.destroy |
+-------------------------+------------------+

添加好数据的时候,我们就不用再控制器里验证了,我们只需要新建一个中间件。

<?php

namespace App\Http\Middleware;

use Closure;
use Illuminate\Support\Facades\Route;
use App\Models\Permission;

class PermissionAuth
{
    /**
     * 把这个中间件放入路由组,把需要的验证的路由
	 * 放入这个中间组里
     */
    public function handle($request, Closure $next)
    {
		/****************************************
		* 获取当前路由的别名,如果没有返回 null
		* (不在 laravel 中使用时,可以获取当前 url )
		****************************************/
        $route = Route::currentRouteName();

        // 判断权限表中这条路由是否需要验证
        if ($permission = Permission::where('route', $route)->first()) {
            // 当前用户不拥有这个权限的名字
            if (! auth()->user()->hasPermission($permission->name)) {
                return response()->view('errors.403', ['status' => "权限不足,需要:{$permission->name}权限"]);
            }
        }

        return $next($request);
    }
}


END

如果是在 laravel 中使用,已经有轮子了,请使用 https://github.com/spatie/laravel-permission

3901 次点击
所在节点    PHP
14 条回复
SouthCityCowBoy
2018-03-27 13:53:10 +08:00
写的很好,我一直在用 entrust,思想是一样的
brett
2018-03-27 14:19:20 +08:00
laravel 本来就自带策略哦
linxb
2018-03-27 14:28:02 +08:00
一般都是直接在路由做控制,laravel-permission 挺好用的
shench
2018-03-27 14:30:40 +08:00
写的很好,我已经在用你推荐的包了
ifconfig
2018-03-27 14:33:09 +08:00
@SouthCityCowBoy 请教下用 entrust 的话要自己写界面管理权限么,还是有推荐
DavidNineRoc
2018-03-27 16:24:50 +08:00
@SouthCityCowBoy 这两个包大同小异,不过 entrust 貌似停止维护了。
@brett 这个,我介绍了两种方式,laravel 自带的策略有点像我说的第一种,而第二种用起来更加爽,每一个地方都要写判断,会累死的,而且直接写死在代码,当权限多起来的时候,你看自己的代码都懵逼
@linxb 是的,就如你楼上所说,laravel 默认自带的思想不一样,还是介绍一下 >_<
@shench 这个包好用!!!
linxl
2018-03-27 16:44:19 +08:00
一直自己写, 用路由的别名.
ylsc633
2018-03-27 17:04:13 +08:00
同 7 楼 直接把路由的别名当做权限的名!

然后一个中间件 进行 权限判断!

然后为了解决平行权限的问题,可以给 角色加个 Level

对于超管这种的,可以不用管,直接全部权限!

剩下的平行权限,就得 业务里去判断了!在中间件里写就浪费资源了..
DavidNineRoc
2018-03-27 17:52:54 +08:00
@linxl
@ylsc633 当我的 name 是中文的时候,具有提示意义,而且 name 很明显是用来显示名字的,我不会吝啬这一个字段,开发人员能看得懂,使用人员总要看 name 的。
我这个设计是:用户永远不能直接拥有权限,只能通过角色继承。
而且我不明白你要表达什么。前一句说在中间件里 进行权限判断。最后一句又说在中间件写判断是浪费资源。
mcfog
2018-03-27 18:37:03 +08:00
功能模块纬度的权限总是权限问题里最简单的一块,即使是这样,楼主的方案里也还是可以补充一下关于菜单和操作按钮的实践

真正恶心的是行权限 /列权限、读 /写权限的排列组合,还有管理权限的权限
DavidNineRoc
2018-03-28 09:36:46 +08:00
@mcfog 操作按钮的显示直接通过判断来显示的。菜单会有一个字段标志 group 标识为哪个组
ylsc633
2018-03-28 09:50:27 +08:00
@DavidNineRoc name 用中文? 好吧,对于权限表,name 是 路由别名! display_name 是别名(中文) 所以你用来显示中文的.. 我并不是用 name 字段...

中间件里 是 判断权限的! 但是 在中间件里判断平行权限 是浪费..因为不是所以的业务都有平行权限...

下面这句话是我复制上面我自己的.. 很好理解啊

"剩下的平行权限,就得 业务里去判断了!在中间件里写就浪费资源了.."
DavidNineRoc
2018-03-28 10:12:42 +08:00
@ylsc633 我不想纠结字段这种小问题!不过我觉得我可能没说明白,中间件的问题;
中间件的好处就是可以合理分配,比如我有 100 个路由,但是只有 49 个路由需要权限,
我会把这 49 个路由放入一个路由组里,这个路由组会有中间件检验,这样可不会浪费资源。
在 append 添加了图片,比如用户登录相关就不用权限认证,其他需要
nextvay
2018-03-30 09:44:45 +08:00
说一个,我们这 saas 系统的路由权限,多企业,企业可以给当前企业管理员分配企业拥有的权限
1,企业 username 名作为 角色名 username
2,为 username 这个角色分配相应的权限,存储到 permission 表中
3,企业 username 新建管理员,继承 username 角色的权限, 选取其中部分权限,存储到表中

企业账户有自己权限,企业管理员有自己的权限

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/441758

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX