学习笔记,持续更新
总结
Auth
中间件用于定义未登录用户只能操作哪些权限policy
授权策略定义了当前用户实例与进行授权的用户是否匹配,一致才能进一步操作,否则返回403禁止访问异常
场景:用户登录
Auth
步骤
- 找到需要过滤动作的控制器,以中间件形式写入该类的构造方法中(或可在路由定义,在group by语句前)
except
:未登录用户只能操作数组中的动作,其他均需要登录用户方可操作only
:未登录用户只能操作数组中的动作,其他均需要验证,常与guest
搭配。例只允许guest
未登录用户访问注册页,相当于已登录用户无法访问注册页。
- 友好转向:用户访问中间件动作中权限受阻时,会自动跳转到设定页面。可在
RedirectIfAuthenticated.php
设定redirect()
跳转的页面
场景:用户只能编辑自己
Policy
步骤
- artisan生成 xxxxPolicy 策略文件
- lara约定了
Policy
字眼前的前缀名字为关联模型
的命名,并自动引入该模型类命名空间。例如生成UserPolicy
策略, 类中会自动引入User
模型类的命名空间
- lara约定了
- 在
app/policies
中定义策略方法
- 定义方法,形参依赖注入
当前登录模型实例
和进行授权用户实例
的两个参数 例如 (User $$currentUser, User $user) - 方法体写入判定条件 如 当前登录模型实例与授权用户实例的ID比较
- 定义方法,形参依赖注入
- 在
Providers/Auth/serviceProvider.php
的$policies
属性中定义授权策略与模型关联 ,
- \App\Models\User::class => \App\Policies\UserPolicy::class,
- 在控制器中调用
$this->authorize('update',$user)
- 第一 个参数对应的是授权类方法中定义的方法名。
- 第二个参数$user对应的是
update
授权方法的第二个参数(进行授权的用户实例)
简介
Laravel内置了一个中间件来验证用户的身份认证。如果用户没有通过身份认证,中间件会重定向到登录页面。但如果通过认证,则允许该请求更进一步进入。
可以将中间件想象为一系列HTTP请求必须经过才能触发应用的层。每一层都会检查请求(是否符合某些条件),如果不符合,甚至可以在请求访问之前完全拒绝。
1.必须先登录
在用户控制器中使用构造方法。
$this->middleware('auth',[
'except'=>['show','create','store']
]);
middleware
方法接收两个参数:
- 第一个:中间件名称
- 第二个:要进行过滤的动作
其中该中间件还有两个动作
except
设定指定动作,数组中的动作将不使用Auth
中间件的过滤方法。相当于除了数组中指定动作以外,所有其他的动作都必须登录用户才能访问only
白名单,只允许访问数组中的动作
2.用户只能编辑自己的资料
当用户1尝试更新用户2的资料时,应弹出403 forbidden
禁止访问异常。
在lara中可以使用policy
对用户操作权限进行验证,未经授权进行的操作将会返回403
2.1新建一个授权策略类
$ php artisan make:polcy UserPolicy
新建的策略类将会安置在app/Policiies
文件夹下。此处体现了【约定优于配置】
下面创建一个策略类
public function update(User $currentUser,User $user){
return $currentUser->id===$user->id;
}
update
方法接收两个参数,第一个参数默认为当前登录用户实例
,第二参数则为要进行授权的用户实例
。当两个id相同时,则代表两个用户是相同用户。若不同则抛除403异常信息拒绝访问。
使用授权时需要注意两个地方
- 并不需要检查
$currentUser
(当前登录用户实例)是否为null。框架会自动为其所有权限返回false
- 调用时,默认情况下,不需要传递当前登录用户到该方法内。框架会自动加载当前登录用户。
2.2授权关联
在AuthServiceProvider
类中对授权策略进行设置。该文件包含一个policies
属性,用于将各种模型
对应到管理它们的授权策略上(相当于关联)
。此处需要为模型
指定UserPolicy
接下来,在protected 的policies属性中添加
\App\Models\User::class=>\App\Policies\UserPolicy::class
授权完毕后,可在控制器中使用authorize
方法验证用户授权策略。默认的App\Http\Controllers\Controller
类包含AuthorizesRequests
trait。该trait提供authorize
方法,可以被用于快速授权指定行为。当无权限运行该行为时,会抛出HttpException。
authorize
方法接收两个参数
- 第一个:
授权策略名称(UserPolicy中的授权的update方法)
- 第二个:进行授权验证的数据(用户模型实例,即数据表中指定的字段)
//此处的update对应 UserPolicy的update授权方法
//$user对应的是update授权方法的第二参数。
$this->authorize('update',$user)
调用policy
中的update
方法时,默认情况下不需要传递第一个参数。当前登录用户($currentUser)登录时,框架会自动加载当前登录用户
在以下两处地方分别添加上授权策略验证
edit
:当前登录用户尝试编辑时,调用策略类中的update
,判断当前登录用户的id是否与模型实例中进行授权的id相同,若不是则无权访问update
同上
2.3友好转向
未登录
用户尝试编辑资料,将会跳转到登录页面,如果用户再进行登录,则会重定向到个人中心页面上。
更好的体验,应该是将用户重定向
到他之前尝试访问的页面。
redirect()
实例提供了一个intended
方法(尝试之意,用户尝试访问的域名).可将页面重定向到上一次请求尝试访问的页面上,并接收一个默认跳转地址参数,当上一次请求记录为空时,跳转到默认地址上。
常见场景,可在会话管理(登录管理)中添加intended
方法,
2.4注册于登录页面访问限制
只让未登录用户访问登录页面和注册页面
sessionController
:登录管理相关,只允许访客登录create(登录界面),相当设置已登录的用户无法访问登录页权限(此时会跳转到默认页,需调整)UsersController
:用户管理相关,只允许访客登录create(注册界面),
登录控制器/用户控制器:
$this->middleware('guest',[
//guest指未登录用户,访客
//only:可理解为白名单,指定一些只允许未登录用户访问的动作
'only'=>['create']
]);
2.5访问权限受阻返回页面
访问Auth
定义的中间件权限受阻时,会被跳转到默认/home
页面。此处需要修改中间件中的redirect()
方法并加上友好提醒
文件:app/Http/Middleware/RedirectIfAuthenticated.php
,此处的Auth
关联Users控制器(中间件引入了该类)
session()->flash('info', '您已登录,无需再次操作。');
return redirect('/'); //默认重定向的页面