Laravel 5.1 中的ACL用户授权及权限检查功能例子

2019-09-30 作者:网络时代   |   浏览(72)

1、引言
Laravel提供的开箱即用的认证功能使得用户注册、登录、退出和密码重置变得便捷和简单。

1、简介

除了提供开箱即用的认证服务之外,Laravel 还提供了一个简单的方式来管理授权逻辑以便控制对资源的访问权限。和认证一样,在 Laravel 中实现授权很简单,主要有两种方式:gates 和 policies。可以将 gates 和 policies 分别看作路由和控制器,gates提供了简单的基于闭包的方式进行授权,而policies 和控制器一样,对特定模型或资源上的复杂授权逻辑进行分组,本着由简入繁的思路,我们首先来看 gates,然后再看 policies。不要将 gates 和 policies 看作互斥的东西,实际上,在大多数应用中我们会混合使用它们,这很有必要,因为 gates 通常用于与模型或资源无关的权限,比如访问管理后台,与之相反,policies 则用于对指定模型或资源的动作进行授权。

但是如果你需要控制访问站点特定部分,或者让非管理员打开/关闭特定页面,又或者确保某些用户只能编辑自己发布的东西(如文章),那么 你就需要引入类似BeatSwitch Lock这样的工具或者自己手动编写这样的功能。我们将这样的功能称之为ACL:Access Control Lists(访问控制列表),用于定义用户基于其用户记录属性操作或查看特定事物的权限。

2、 Gate

幸运的是,从Laravel 5.1.11开始,Laravel提供了开箱即用的授权功能用于实现上述需求,我们不再需要做任何额外工作,用就是了。

编写Gates

Gates 是一个用于判断用户是否有权进行某项操作的闭包,通常使用 Gate门面定义在 AppProvidersAuthServiceProvider 类中。Gates 总是接收用户实例作为第一个参数,还可以接收相关的Eloquent 模型实例作为额外参数:

/** 
* 注册任意认证/授权服务. *
* @return void 
*/
public function boot()
{ 
      $this->registerPolicies(); 
      Gate::define('update-post', function ($user, $post){ 
            return $user->id == $post->user_id;
      });
}

注:在开始本节之前,请参考升级指南将Laravel升级到Laravel 5.1.11,否则不能实现相关功能。
2、能做什么?
Laravel提供的开箱即用的ACL被称作Gate(这并不是一个类似Spark的产品名称,而只是一个类和门面的名称)。

授权动作

要使用 gates 授权某个动作,可以使用 allows或 denies 方法,需要注意的是你可以不传用户实例到这些方法,Laravel 会自动将用户实例传递到 gate 闭包:
<pre>
if (Gate::allows('update-post', $post))
{ // 当前用户可以更新文章...}
if (Gate::denies('update-post', $post))
{ // 当前用户不能更新文章...}
</pre>
如果你想要判断指定用户(非当前用户)是否有权进行某项操作,可以使用 Gate门面上的 forUser方法:
<pre>
if (Gate::forUser($user)->allows('update-post', $post))
{ // 当前用户可以更新文章...}
if (Gate::forUser($user)->denies('update-post', $post))
{ // 当前用户不能更新文章...}
</pre>

使用Gate类(注入或使用Gate门面)允许我们轻松检查某个用户(当前登录用户或指定用户)是否允许操作特定事物。检查代码如下:

3、创建策略类

if (Gate::denies('update-post', $post)) {
    abort(403);
}
将这段代码放到控制器中,它将会使用定义好的规则update-post来检查当前认证用户是否有权限更新指定文章。

生成策略类

Policies(策略)是用于组织基于特定模型或资源的授权逻辑的类,例如,如果你开发的是一个博客应用,可以有一个 Post 模型和与之对应的 PostPolicy 来授权用户创建或更新博客的动作。我们使用 Artisan 命令 make:policy 来生成一个 policy(策略),生成的 policy 位于 app/Policies 目录下,如果这个目录之前不存在,Laravel 会为我们生成:
<pre>
php artisan make:policy PostPolicy
</pre>make:policy命令会生成一个空的 policy 类,如果你想要生成一个包含基本CRUD策略方法的 policy 类,在执行该命令的时候可以通过 --model指定相应模型:
<pre>
php artisan make:policy PostPolicy --model=Post
</pre>注:所有策略类都通过服务容器进行解析,以便在策略类的构造函数中通过类型提示进行依赖注入。

你还可以使用Gate::allows,该方法与denies方法相对,还可以在Blade视图模板中通过@can来使用,还有更多更多,让我们接下来一窥究竟。

注册策略类

策略类创建之后,需要进行注册。Laravel 自带的 AuthServiceProvider包含了一个 policies属性来映射Eloquent 模型及与之对应的策略类。注册策略将会告知 Laravel 在授权给定模型动作时使用哪一个策略类:
<pre>
<?php
namespace AppProviders;
use AppPost;use AppPoliciesPostPolicy;
use IlluminateSupportFacadesGate;
use IlluminateFoundationSupportProvidersAuthServiceProvider as ServiceProvider;
class AuthServiceProvider extends ServiceProvider{
//应用的策略映射.
protected $policies = [ Post::class => PostPolicy::class, ];
//注册任意认证/授权服务.
public function boot() {
$this->registerPolicies();
}
}
</pre>

3、如果使用?
Laravel ACL建立在“权限”概念之上,权限包括一个键(例如update-post)和一个返回true或false的闭包(可传入参数)。

4、编写策略类

3.1 定义权限

策略方法

策略类被注册后,还要为每个授权动作添加方法,例如,我们为用户更新 Post实例这一动作在 PostPolicy中定义一个 update方法。update方法会接收一个 User 实例和一个 Post 实例作为参数,并且返回 true 或 false以表明该用户是否有权限对给定 Post 进行更新。因此,在这个例子中,我们验证用户的 id 和文章对应的 user_id
是否匹配:
<pre>
<?php
namespace AppPolicies;
use AppUser;
use AppPost;
class PostPolicy{
//判断给定文章是否可以被用户更新.
public function update(User $user, Post $post)
{ return $user->id === $post->user_id; }
}
</pre>
你可以继续在策略类中为授权的权限定义更多需要的方法,例如,你可以定义 view 或者 delete 等方法来授多个 Post 动作,方法名不限。
注:如果你在使用 Artisan 命令生成策略类的时候使用了 --model 选项,那么策略类中就会包含了 view 、 create 、 update 和 delete 动作。

让我们在AuthServiceProvider中定义用户更新文章权限update-post如下:

不带模型的方法

有些策略方法只接收当前认证的用户,并不接收授权的模型实例作为参数,这种用法在授权 create动作的时候很常见。例如,创建一篇博客的时候,你可能想要检查检查当前用户是否有权创建新博客。当定义不接收模型实例的策略方法时,例如 create方法,可以这么做:
<pre>
//判断当前用户是否可以创建文章.
public function create( User $user){ //}
</pre>

<?php

策略过滤器

对特定用户,你可能想要在一个策略方法中对其授权所有权限,比如后台管理员。要实现这个功能,需要在策略类中定义一个 before 方法, before 方法会在策略类的所有其他方法执行前执行,从而确保在其他策略方法调用前执行其中的逻辑:
<pre>
public function before($user, $ability){ if ($user->isSuperAdmin()) { return true; }}
</pre>
如果你想要禁止所有授权,可以在 before 方法中返回 false 。如果返回 null ,该授权会落入策略方法。

namespace AppProviders;

5、使用策略授权动作

通过User模型 Laravel 自带的 User 模型提供了两个方法用于授权动作: can 和 cant 。 can 方法接收你想要授权的动作和对应的模型作为参数。例如,下面的例子我们判断用户是否被授权更新给定的Post 模型:
<pre>
if ($user->can('update', $post)) { //}
</pre>
如果给定模型对应的策略已经注册,则 can 方法会自动调用相应的策略并返回布尔结果。如果给定模型没有何策略被注册, can 方法将会尝试调用与动作名称相匹配的Gate闭包。不依赖于模型的动作有些动作比如 create 并不需要依赖给定模型实例,在这些场景中,可以传递一个类名到 can方法,这个类名会在进行授权的时候用于判断使用哪一个策略:
<pre>
use AppPost;
if ($user->can('create', Post::class))
{ // Executes the "create" method on the relevant policy...}
</pre>
通过 中间件Laravel 提供了一个可以在请求到达路由或控制器之前进行授权的中间件—— IlluminateAuthMiddlewareAuthorize ,默认情况下,个中间件在 AppHttpKernel 类中被分配了一个can 别名,下面我们来探究如何使用 can 中间件授权用户更新博客文章动作:
<pre>
use AppPost;
Route::put('/post/{post}', function (Post $post)
{ // The current user may update the post...})
->middleware('can:update,post');
</pre>
在这个例子中,我们传递了两个参数给 can 中间件,第一个是我们想要授权的动作名称,第二个是我们想要传递给策略方法的路由参数。在这个例子中,由于我们使用了隐式模型绑定,Post 模型将会被传递给策略方法,如果没有对用户进行给定动作的授权,中间件将会生成并返回一个状态码为 403 的 HTTP 响应。不依赖于模型的动作同样,对那些不需要传入模型实例的动作如 create ,需要传递类名到中间件,类名将会在授权动作的时候用于判断使用哪个策略:
<pre>
Route::post('/post', function () { // The current user may create posts...})->middleware('can:create,AppPost');
</pre>
通过控制器辅助函数除了提供给 User 模型的辅助函数,Laravel 还为继承自AppHttpControllersController
基类的所有控制器提供了 authorize 方法,和 can 方法类似,该方法接收你想要授权的动作名称以及相应模型实例作为参数,如果动作没有被授权, authorize 方法将会抛出 IlluminateAuthAccessAuthorizationException
,Laravel 默认异常处理器将会将其转化为状态码为 403 的 HTTP 响应:
<pre>
<?php
namespace AppHttpControllers;
use AppPost;use IlluminateHttpRequest;
use AppHttpControllersController;
class PostController extends Controller{
//更新给定博客文章.
public function update(Request $request, Post $post)
{ $this->authorize('update', $post); // The current user can update the blog post... }
}
</pre>
不依赖模型的动作和之前讨论的一样,类似 create 这样的动作不需要传入模型实例参数,在这些场景中,可以传递类名给 authorize 方法,该类名将会在授权动作时判断使用哪个策略:
<pre>
//创建一篇新的博客文章.
public function create(Request $request)
{ $this->authorize('create', Post::class); // The current user can create blog posts...}
</pre>
通过 Blade 模板编写 Blade 模板的时候,你可能想要在用户被授权特定动作的情况下才显示对应的视图模板部分,

例如,你可能想要在用户被授权更新权限的情况下才显示更新表单。在这种情况下,你可以使用 @can 和 @cannot 指令:
@can('update', $post)
@elsecan('create', $post)

@endcan
@cannot('update', $post)
@elsecannot('create', $post)
@endcannot这种写法可看作是

@if 和 @unless 语句的缩写,上面的 @can 和 @cannot 语句与下面的语句等价:
@if (Auth::user()->can('update', $post))
@endif@unless (Auth::user()->can('update', $post))
@endunless不依赖模型的动作和其它授权方法一样,

如果授权动作不需要传入模型实例的情况下可以传递类名给 @can 和 @cannot 指令:
@can('create', Post::class)
@endcan@cannot('create', Post::class)
@endcannot

use IlluminateContractsAuthAccessGate as GateContract;
use IlluminateFoundationSupportProvidersAuthServiceProvider as ServiceProvider;

class AuthServiceProvider extends ServiceProvider{
    /**
     * 注册应用所有的认证/授权服务.
     *
     * @param  IlluminateContractsAuthAccessGate  $gate
     * @return void
     */
    public function boot(GateContract $gate)
    {
        parent::registerPolicies($gate);

        $gate->define('update-post', function ($user, $post) {
            return $user->id === $post->user_id;
        });
    }
}
正如你所看到的,定义权限闭包的第一个参数是指定用户,如果当前用户没有通过登录认证,Gate将会自定返回false。

当然,除了闭包之外,还可以通过类方法作为第二个参数来替代闭包,该类会在容器中解析:

$gate->define('update-post', 'PostPolicy@update');
3.2 通过Gate门面检查权限

Gate提供如下方法进行权限检查:check、allows和denies,check和allows功能用法完全一样,而denies和allows功能相反。

如果你使用门面检查权限,则不需要传递用户实例,Gate门面会自动将当前用户传递进来:

if (Gate::denies('update-post', $post)) {      
    abort(403);
}
如果你在权限中定义了多个参数:

Gate::define('delete-comment', function ($user, $post, $comment) {
    //
});
则检查方法如下:

if (Gate::allows('delete-comment', [$post, $comment])) {
    //
}
如果你想检查非当前认证用户是否有权限操作,调用方法如下:

if (Gate::forUser($user)->allows('update-post', $post)) {
    //
}
3.3 使用Gate注入检查权限

和以往一样,可以注入Gate类而不是使用其门面,注入的类和你在AuthServiceProvider中一样——IlluminateContractsAuthAccessGate:

public function somethingResolvedFromContainer(Gate $gate)
{
    if ($gate->denies('update-post')) {
        // etc.
    }
}
3.4 使用User模型检查权限

Laravel的AppUser模型现在使用了Authorizabletrait,因此可以使用其提供的can和cannot方法,分别对应Gate的allows和denies方法。

所以我们也可以使用User模型来检查权限:

public function update(Request $request, $id)
{
    $post = Post::findOrFail($id);

    if ($request->user()->cannot('update-post', $post)) {
        abort(403);
    }

    // 更新文章...
}
3.5 在Blade中检查权限

你可以在Blade中使用@can指令来检查权限:

<a href="/post/{{ $post->id }}">查看文章</a>

@can('update-post', $post)
    <a href="/post/{{ $post->id }}/edit">编辑文章</a>
@endcan
与之相对的是@else指令:

本文由澳门新葡亰网址大全发布于网络时代,转载请注明出处:Laravel 5.1 中的ACL用户授权及权限检查功能例子

关键词: