Laravel角色和权限:拦截器Gates和策略Policies的解释
在 Laravel 中,角色和权限多年来一直是最令人困惑的话题之一。
大多数情况下,因为没有关于它的文档:相同的东西“隐藏”在框架中的其他术语下,如“gates”、“policies”、“guards”等。
在本文中,我将尝试将它们全部解释 “人类语言”。
门(gate)与权限(Permission)相同
在我看来,最大的困惑之一是“门”这个词。
我认为如果他们被称为他们是什么,开发人员会避免很多混乱。
gate是权限,只是用另一个词来称呼。
我们需要使用权限执行哪些典型操作?
定义权限,例如。 “管理用户”
检查前端的权限,例如。 显示/隐藏按钮
检查后端的权限,例如。 可以/不能更新数据
所以,是的,把“许可”这个词换成“门”,你就明白了。
一个简单的 Laravel 示例如下:
app/Providers/AppServiceProvider.php:
use App\Models\User;
use Illuminate\Support\Facades\Gate;
class AppServiceProvider extends ServiceProvider
{
public function boot()
{
// Should return TRUE or FALSE
Gate::define('manage_users', function(User $user) {
return $user->is_admin == 1;
});
}
}
resources/views/navigation.blade.php:
<ul>
<li>
<a href="{{ route('projects.index') }}">Projects</a>
</li>
@can('manage_users')
<li>
<a href="{{ route('users.index') }}">Users</a>
</li>
@endcan
</ul>
routes/web.php:
Route::resource('users', UserController::class)->middleware('can:manage_users');
现在,我知道,从技术上讲,Gate 可能意味着不止一项权限。
因此,您可以定义类似“admin_area”的内容,而不是“manage_users”。
但在我见过的大多数例子中,Gate 是 Permission 的同义词。
此外,在某些情况下,权限被称为“能力”,就像在 Bouncer 包中一样。
这也意味着同样的事情——某些行动的能力/许可。 我们将在本文后面介绍这些包。
https://laravel-news.com/bouncer-authorization-package
检查门权限的各种方法
另一个混乱的来源是如何/在哪里检查门。 它非常灵活,您可能会发现非常不同的示例。
让我们来看看它们:
Option 1. Routes: middleware('can:xxxxxx')
这是上面的例子。 直接在路由/组上,您可以分配中间件:
Route::post('users', [UserController::class, 'store'])
->middleware('can:create_users');
Option 2. Controller: can() / cannot()
在 Controller 方法的第一行,我们可以看到类似这样的内容,使用方法 can() 或 cannot(),与 Blade 指令相同:
public function store(Request $request)
{
if (!$request->user()->can('create_users'))
abort(403);
}
}
相反的是cannot():
public function store(Request $request)
{
if ($request->user()->cannot('create_users'))
abort(403);
}
}或者,如果你没有 $request 变量,你可以使用 auth() 助手:
public function create()
{
if (!auth()->user()->can('create_users'))
abort(403);
}
}Option 3. Gate::allows() or Gate::denies()
另一种方法是使用 Gate 门面:
public function store(Request $request)
{
if (!Gate::allows('create_users')) {
abort(403);
}
}或者,相反的方式:
public function store(Request $request)
{
if (Gate::denies('create_users')) {
abort(403);
}
}或者,使用助手的更短的中止方法:
public function store(Request $request)
{
abort_if(Gate::denies('create_users'), 403);
}Option 4. Controller: authorize()
更短的选择,也是我最喜欢的选择,是在控制器中使用 authorize()。 如果失败,它会自动返回一个 403 页面。
public function store(Request $request)
{
$this->authorize('create_users');
}
Option 5. Form Request class:
我注意到许多开发人员生成表单请求类只是为了定义验证规则,完全忽略了该类的第一个方法,即 authorize()。
您也可以使用它来检查大门。 这样,您就实现了关注点分离,这对于可靠的代码来说是一个很好的做法,因此控制器不负责验证,因为它是在其专用的表单请求类中完成的。
public function store(StoreUserRequest $request)
{
// No check is needed in the Controller method
}然后,在表单请求中:
class StoreProjectRequest extends FormRequest
{
public function authorize()
{
return Gate::allows('create_users');
}
public function rules()
{
return [
// ...
];
}
}策略:基于模型的权限集
如果您的权限可以分配给 Eloquent 模型,那么在典型的 CRUD 控制器中,您可以围绕它们构建一个 Policy 类。
如果我们运行这个命令:
php artisan make:policy ProductPolicy --model=Product
它将生成文件 app/Policies/UserPolicy.php,默认方法有注释来解释其用途:
use App\Models\Product;
use App\Models\User;
class ProductPolicy
{
use HandlesAuthorization;
/**
* Determine whether the user can view any models.
*/
public function viewAny(User $user)
{
//
}
/**
* Determine whether the user can view the model.
*/
public function view(User $user, Product $product)
{
//
}
/**
* Determine whether the user can create models.
*/
public function create(User $user)
{
//
}
/**
* Determine whether the user can update the model.
*/
public function update(User $user, Product $product)
{
//
}
/**
* Determine whether the user can delete the model.
*/
public function delete(User $user, Product $product)
{
//
}
/**
* Determine whether the user can restore the model.
*/
public function restore(User $user, Product $product)
{
//
}
/**
* Determine whether the user can permanently delete the model.
*/
public function forceDelete(User $user, Product $product)
{
//
}
}在这些方法中的每一个中,您都定义了真/假返回的条件。 所以,如果我们按照之前盖茨的例子,我们可以这样做:
class ProductPolicy
{
public function create(User $user)
{
return $user->is_admin == 1;
}
然后,您可以使用与 Gates 非常相似的方式检查 Policy:
public function store(Request $request)
{
$this->authorize('create', Product::class);
}
因此,您指定策略的方法名称和类名称。
换句话说,Policies 只是对权限进行分组的另一种方式,而不是 Gates。
如果您的操作主要围绕模型的 CRUD,那么策略可能是比 Gates 更方便且结构更好的选择。
角色:通用权限集
让我们讨论另一个困惑:在 Laravel 文档中,您不会找到任何有关用户角色的部分。
原因很简单:
术语“角色”是人为组成的,将权限分组到某种名称下,例如“管理员”或“编辑”。
从框架的角度来看,没有“角色”,只有您可以以任何您想要的方式分组的门/策略。
换句话说,角色是 Laravel 框架之外的一个实体,所以我们需要自己构建角色结构。
它可能是整个身份验证混乱的一部分,但它非常有意义,因为我们应该控制角色的定义方式:
是一个角色还是多个角色?
一个用户可以有一个角色还是多个角色?
谁可以管理系统中的角色?
等等因此,角色功能是 Laravel 应用程序的另一层。
这是我们获得可能有帮助的 Laravel 软件包的地方。
但是我们也可以创建没有任何包的角色:
创建“角色”数据库表和角色雄辩模型
添加从用户到角色的关系:一对多或多对多
播种默认角色并将其分配给现有用户
在注册时分配默认角色
更改gates/Policies以检查角色最后一点是最关键的。
所以,而不是:
class ProductPolicy
{
public function create(User $user)
{
return $user->is_admin == 1;
}
你会做这样的事情:
class ProductPolicy
{
public function create(User $user)
{
return $user->role_id == Role::ADMIN;
}同样,在这里您有几个选项来检查角色。
在上面的例子中,我们假设从 User 到 Role 有一个 belongsTo 关系,并且 Role 模型中有一些常量,
比如 ADMIN = 1,比如 EDITOR = 2,只是为了避免过多地查询数据库。
但是如果你喜欢灵活一点,你可以每次都查询数据库:
class ProductPolicy
{
public function create(User $user)
{
return $user->role->name == 'Administrator';
}但切记要预先加载“角色”关系,否则在这里很容易遇到 N+1 查询问题。
使其灵活:保存在数据库中的权限
以我个人的经验,将它们一起构建的通常模型是这样的:
所有权限和角色都保存在数据库中,通过一些管理面板进行管理;
关系:角色多对多权限,用户属于角色(或多对多角色);
然后,在 AppServiceProvider 中,您从 DB 的所有权限中创建一个 foreach 循环,并为每个权限运行 Gate::define() 语句,根据角色返回 true/false;
最后,您使用 @can('permission_name') 和 $this->authorize('permission_name') 检查权限,就像上面的示例一样。
$roles = Role::with('permissions')->get();
$permissionsArray = [];
foreach ($roles as $role) {
foreach ($role->permissions as $permissions) {
$permissionsArray[$permissions->title][] = $role->id;
}
}
// Every permission may have multiple roles assigned
foreach ($permissionsArray as $title => $roles) {
Gate::define($title, function ($user) use ($roles) {
// We check if we have the needed roles among current user's roles
return count(array_intersect($user->roles->pluck('id')->toArray(), $roles)) > 0;
});
}换句话说,我们不检查角色的任何访问。
角色只是一个“人造”层,一组权限,在应用程序生命周期中转化为 Gates。
看起来很复杂?
不用担心,这是我们可以提供帮助的软件包的地方。
管理角色/权限的包
最受欢迎的软件包是 Spatie Laravel Permission 和 Bouncer,我有一篇单独的长篇文章。 文章很老了,但市场领导者还是一样的,因为他们很稳定。
https://github.com/spatie/laravel-permission
https://laravel-news.com/two-best-roles-permissions-packages这些包的作用是帮助您将权限管理抽象为一种对人类友好的语言,使用您可以轻松记住和使用的方法。
从 Spatie 许可看这个漂亮的语法:
$user->givePermissionTo('edit articles');
$user->assignRole('writer');
$role->givePermissionTo('edit articles');
$user->can('edit articles');Bouncer 可能不太直观,但仍然非常好:
Bouncer::allow($user)->to('create', Post::class);
Bouncer::allow('admin')->to('ban-users');
Bouncer::assign('admin')->to($user);您可以在他们的 Github 链接或我上面的文章中阅读有关如何使用这些软件包的更多信息。
因此,这些包是我们在本文中介绍的身份验证/授权的最后“层”,我希望您现在能够全面了解并能够选择使用什么策略。
附言等等,守卫呢?
哦,那些。
多年来,它们引起了很多混乱。
许多开发人员认为 Guards 是角色,并开始创建单独的数据库表,如“管理员”,然后将它们分配为 Guards。
部分是因为在文档中你可能会发现像
Auth::guard('admin')->attempt($credentials)) 这样的代码片段
我什至向文档提交了一个 Pull Request 并发出警告以避免这种误解。
https://github.com/laravel/docs/pull/6750
在官方文档中,你可能会发现这一段:
Laravel 的认证设施的核心是由“守卫”和“提供者”组成。
Guards 定义了如何为每个请求对用户进行身份验证。
例如,Laravel 附带了一个会话守卫,它使用会话存储和 cookie 来维护状态。
所以,守卫是一个比角色更全球化的概念。
守卫的一个示例是“会话”,在文档的后面,您可能会看到 JWT 守卫示例。
换句话说,守卫是一种完整的身份验证机制,对于大多数 Laravel 项目,您永远不需要更改守卫,甚至不需要知道它们是如何工作的。
警卫不在此角色/权限主题范围内.
相关文章