Laravel-权限系统

学习笔记，持续更新

总结

1. Auth中间件用于定义未登录用户只能操作哪些权限
2. policy授权策略定义了当前用户实例与进行授权的用户是否匹配，一致才能进一步操作，否则返回403禁止访问异常

---

场景：用户登录
Auth步骤

• 找到需要过滤动作的控制器，以中间件形式写入该类的构造方法中（或可在路由定义，在group by语句前）
  
  • except：未登录用户只能操作数组中的动作，其他均需要登录用户方可操作
  • only：未登录用户只能操作数组中的动作，其他均需要验证，常与guest搭配。例只允许guest未登录用户访问注册页，相当于已登录用户无法访问注册页。
• 友好转向：用户访问中间件动作中权限受阻时，会自动跳转到设定页面。可在RedirectIfAuthenticated.php设定redirect()跳转的页面

---

场景：用户只能编辑自己
Policy步骤

• artisan生成 xxxxPolicy 策略文件
  
  • lara约定了 Policy字眼前的前缀名字为关联模型的命名，并自动引入该模型类命名空间。例如生成 UserPolicy策略， 类中会自动引入User模型类的命名空间
• 在app/policies中定义策略方法
  
  • 定义方法，形参依赖注入 当前登录模型实例和进行授权用户实例的两个参数 例如 (User $$currentUser, User $user)
  • 方法体写入判定条件 如 当前登录模型实例与授权用户实例的ID比较
• 在Providers/Auth/serviceProvider.php的$policies属性中定义授权策略与模型关联 ，
  
  • \App\Models\User::class => \App\Policies\UserPolicy::class,
• 在控制器中调用$this->authorize('update',$user)
  
  • 第一 个参数对应的是授权类方法中定义的方法名。
  • 第二个参数$user对应的是update授权方法的第二个参数（进行授权的用户实例）

---

简介

Laravel内置了一个中间件来验证用户的身份认证。如果用户没有通过身份认证，中间件会重定向到登录页面。但如果通过认证，则允许该请求更进一步进入。

可以将中间件想象为一系列HTTP请求必须经过才能触发应用的层。每一层都会检查请求（是否符合某些条件），如果不符合，甚至可以在请求访问之前完全拒绝。

1.必须先登录

在用户控制器中使用构造方法。

$this->middleware('auth',[
    'except'=>['show','create','store']     
]);

middleware方法接收两个参数：

• 第一个：中间件名称
• 第二个：要进行过滤的动作

其中该中间件还有两个动作

• except设定指定动作，数组中的动作将不使用Auth中间件的过滤方法。相当于除了数组中指定动作以外，所有其他的动作都必须登录用户才能访问
• only白名单，只允许访问数组中的动作

2.用户只能编辑自己的资料

当用户1尝试更新用户2的资料时，应弹出403 forbidden禁止访问异常。
在lara中可以使用policy对用户操作权限进行验证，未经授权进行的操作将会返回403

2.1新建一个授权策略类

$ php artisan make:polcy UserPolicy

新建的策略类将会安置在app/Policiies文件夹下。此处体现了【约定优于配置】

下面创建一个策略类

public function update(User $currentUser,User $user){
    return $currentUser->id===$user->id;
}

update方法接收两个参数，第一个参数默认为当前登录用户实例，第二参数则为要进行授权的用户实例。当两个id相同时，则代表两个用户是相同用户。若不同则抛除403异常信息拒绝访问。

使用授权时需要注意两个地方

1. 并不需要检查$currentUser（当前登录用户实例）是否为null。框架会自动为其所有权限返回false
2. 调用时，默认情况下，不需要传递当前登录用户到该方法内。框架会自动加载当前登录用户。

2.2授权关联

在AuthServiceProvider类中对授权策略进行设置。该文件包含一个policies属性，用于将各种模型对应到管理它们的授权策略上（相当于关联）。此处需要为模型指定UserPolicy

接下来，在protected 的policies属性中添加

\App\Models\User::class=>\App\Policies\UserPolicy::class

授权完毕后，可在控制器中使用authorize方法验证用户授权策略。默认的App\Http\Controllers\Controller类包含AuthorizesRequeststrait。该trait提供authorize方法，可以被用于快速授权指定行为。当无权限运行该行为时，会抛出HttpException。

authorize方法接收两个参数

• 第一个：授权策略名称（UserPolicy中的授权的update方法）
• 第二个：进行授权验证的数据（用户模型实例，即数据表中指定的字段）

//此处的update对应 UserPolicy的update授权方法
//$user对应的是update授权方法的第二参数。
$this->authorize('update',$user)

调用policy中的update方法时，默认情况下不需要传递第一个参数。当前登录用户（$currentUser）登录时，框架会自动加载当前登录用户

在以下两处地方分别添加上授权策略验证

• edit:当前登录用户尝试编辑时，调用策略类中的update，判断当前登录用户的id是否与模型实例中进行授权的id相同，若不是则无权访问
• update同上

2.3友好转向

未登录用户尝试编辑资料，将会跳转到登录页面，如果用户再进行登录，则会重定向到个人中心页面上。
更好的体验，应该是将用户重定向到他之前尝试访问的页面。

redirect()实例提供了一个intended方法（尝试之意，用户尝试访问的域名）.可将页面重定向到上一次请求尝试访问的页面上，并接收一个默认跳转地址参数，当上一次请求记录为空时，跳转到默认地址上。

常见场景，可在会话管理（登录管理）中添加intended方法，

2.4注册于登录页面访问限制

只让未登录用户访问登录页面和注册页面

• sessionController：登录管理相关，只允许访客登录create（登录界面），相当设置已登录的用户无法访问登录页权限（此时会跳转到默认页，需调整）
• UsersController:用户管理相关，只允许访客登录create（注册界面），

登录控制器/用户控制器：

$this->middleware('guest',[
    //guest指未登录用户，访客
    //only:可理解为白名单，指定一些只允许未登录用户访问的动作
    'only'=>['create']  
]);

2.5访问权限受阻返回页面

访问Auth定义的中间件权限受阻时，会被跳转到默认/home页面。此处需要修改中间件中的redirect()方法并加上友好提醒

文件：app/Http/Middleware/RedirectIfAuthenticated.php，此处的Auth关联Users控制器（中间件引入了该类）

session()->flash('info', '您已登录，无需再次操作。');
return redirect('/');      //默认重定向的页面