V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
DavidNineRoc
V2EX  ›  PHP

Laravel 中使用路由控制权限(不限于 Laravel,只是一种思想)

  •  
  •   DavidNineRoc · 2018-03-27 12:59:28 +08:00 · 3922 次点击
    这是一个创建于 2458 天前的主题,其中的信息可能已经有所发展或是发生改变。

    Start

    权限设计是后台管理很重要的一个功能,所以要好好设计。 PHP 已经有很多这方面的packages了,就不用我们重复造轮子了。当然,如果你愿意可以从头开始~


    PS

    以前做权限认证的方式有好几种,我说说常用的两种吧!

    1. 每一个页面认证当前需要的权限一次
    2. 在统一的地方(中间件)验证 先上一下简单的表结构(只保留重要的信息)数据库的模型 ER 图 (ps:这个设计中,用户不会直接拥有权限,只能通过角色继承权限。有很多packages会提供用户可以直接拥有权限功能)

    Model

    模型关联关系处理:

    1. User 模型
    <?php
    
    namespace App\Models;
    
    use Illuminate\Notifications\Notifiable;
    use Illuminate\Foundation\Auth\User as Authenticatable;
    
    class User extends Authenticatable
    {
        use Notifiable;
    	
        /**
         * The attributes that should be hidden for arrays.
         *
         * @var array
         */
        protected $hidden = [
            'password', 'remember_token',
        ];
    
    	// 用户和角色的模型关联关系
        public function roles()
        {
            return $this->belongsToMany(Role::class);
        }
    	
    	/****************************************
    	* 封装一个方法方便使用
    	* 1. 需要的权限
    	* 2. 遍历当期那用户拥有的所有角色
    	* 3. 再通过角色判断是否有当前需要的权限
    	****************************************/
    	public function hasPermission($permissionName)
    	{
    		foreach ($this->roles as $role) {
    			if ($role->permisssions()->where('name', $permissionName)->exists()) {
    				return true;;
    			}
    		}
    		
    		return false;
    	}
    }
    
    
    1. Role 模型
    <?php
    
    namespace App\Models;
    
    class Role extends Model
    {
    	// 用户和角色的模型关联关系
        public function users()
        {
            return $this->belongsToMany(User::class);
        }
    	
    	// 角色和权限的模型关联关系
    	public function permissions()
        {
            return $this->belongsToMany(Permission::class);
        }
    }
    
    1. Permission 模型
    <?php
    
    namespace App\Models;
    
    class Role extends Model
    {
    	// 角色和权限的模型关联关系
        public function roles()
        {
            return $this->belongsToMany(Role::class);
        }
    }
    

    Database Seed

    • 插入一些记录:
    ########################################
    # users:
    +-------+---------+-----------+
    | id    | name    |  password |
    +-----------------+-----------+
    |   1   |  gps    |  123456   |
    +-----------------+-----------+
    |   2   |  david  |  123456   |
    +-----------------+-----------+
    ########################################
    # roles:
    +-------+---------+
    | id    | name    |
    +-----------------+
    |   1   |  admin  |
    +-----------------+
    ########################################
    # permissions:
    +-------+-----------------+
    | id    |       name      |
    +-------------------------+
    |   1   | create_product  |
    |   2   | delete_product  |
    +-------------------------+
    ########################################
    # role_user (用户 gps 拥有 admin 角色身份)
    +---------+---------+
    | role_id | user_id |
    +---------+---------+
    |   1     |   1     |
    +------------------+
    ########################################
    # permission_role (角色 admin 拥有创建商品和删除商品的权限)
    +---------+---------------+
    | role_id | permission_id |
    +---------+---------------+
    |   1     |      1        |
    |   1     |      2        |
    +-------------------------+
    

    First

    第一种大概介绍一下:

    <?php
    
    namespace App\Http\Controllers;
    
    use App\Models\Product;
    
    class ProductsController extends Controller
    {
        public function store(Request $request)
        {
    		// 判断当前登录的用户是否有权限
    		if (! $request->user()->hasPermission('create_product')) {
    			abort(403);
    		}
    		
    		// do something
    		
            return back()->with('status', '添加商品成功');
        }
    
    
        public function destroy(Product $product)
        {
    		// 判断当前登录的用户是否有权限
    		if (! $request->user()->hasPermission('delete_product')) {
    			abort(403);
    		}
    		
    		// do something
    		
            return back()->with('status', '删除商品成功');
        }
    }
    

    Two

    通过上面的代码我们可以看到,即使封装了权限验证的代码,还是要在不同的方法进行验证,而且可扩展性不高,这时候我们只需要在权限表加一个字段,就可以解决问题

    1. permissions (加多一个 route 字段, 如果不在 laravel 中使用,可以加一个 url 字段匹配)
    +-------+------------------+------+-----+---------+----------------+
    | Field | Type             | Null | Key | Default | Extra          |
    +-------+------------------+------+-----+---------+----------------+
    | id    | int(10) unsigned | NO   | PRI | NULL    | auto_increment |
    | name  | varchar(191)     | NO   |     | NULL    |                |
    | route | varchar(191)     | NO   |     | NULL    |                |
    +-------+------------------+------+-----+---------+----------------+
    2. 这时候插入数据的时候,我们只要做好相关的录入
    +-------+-----------------+------------------+
    | id    |       name      |      route       |
    +-------------------------+------------------+
    |   1   | create_product  | products.store   |
    |   2   | delete_product  | products.destroy |
    +-------------------------+------------------+
    

    添加好数据的时候,我们就不用再控制器里验证了,我们只需要新建一个中间件。

    <?php
    
    namespace App\Http\Middleware;
    
    use Closure;
    use Illuminate\Support\Facades\Route;
    use App\Models\Permission;
    
    class PermissionAuth
    {
        /**
         * 把这个中间件放入路由组,把需要的验证的路由
    	 * 放入这个中间组里
         */
        public function handle($request, Closure $next)
        {
    		/****************************************
    		* 获取当前路由的别名,如果没有返回 null
    		* (不在 laravel 中使用时,可以获取当前 url )
    		****************************************/
            $route = Route::currentRouteName();
    
            // 判断权限表中这条路由是否需要验证
            if ($permission = Permission::where('route', $route)->first()) {
                // 当前用户不拥有这个权限的名字
                if (! auth()->user()->hasPermission($permission->name)) {
                    return response()->view('errors.403', ['status' => "权限不足,需要:{$permission->name}权限"]);
                }
            }
    
            return $next($request);
        }
    }
    
    

    END

    如果是在 laravel 中使用,已经有轮子了,请使用 https://github.com/spatie/laravel-permission

    第 1 条附言  ·  2018-03-28 10:12:50 +08:00

    QQ截图20180328101134.png

    14 条回复    2018-03-30 09:44:45 +08:00
    SouthCityCowBoy
        1
    SouthCityCowBoy  
       2018-03-27 13:53:10 +08:00
    写的很好,我一直在用 entrust,思想是一样的
    brett
        2
    brett  
       2018-03-27 14:19:20 +08:00
    laravel 本来就自带策略哦
    linxb
        3
    linxb  
       2018-03-27 14:28:02 +08:00
    一般都是直接在路由做控制,laravel-permission 挺好用的
    shench
        4
    shench  
       2018-03-27 14:30:40 +08:00
    写的很好,我已经在用你推荐的包了
    ifconfig
        5
    ifconfig  
       2018-03-27 14:33:09 +08:00
    @SouthCityCowBoy 请教下用 entrust 的话要自己写界面管理权限么,还是有推荐
    DavidNineRoc
        6
    DavidNineRoc  
    OP
       2018-03-27 16:24:50 +08:00
    @SouthCityCowBoy 这两个包大同小异,不过 entrust 貌似停止维护了。
    @brett 这个,我介绍了两种方式,laravel 自带的策略有点像我说的第一种,而第二种用起来更加爽,每一个地方都要写判断,会累死的,而且直接写死在代码,当权限多起来的时候,你看自己的代码都懵逼
    @linxb 是的,就如你楼上所说,laravel 默认自带的思想不一样,还是介绍一下 >_<
    @shench 这个包好用!!!
    linxl
        7
    linxl  
       2018-03-27 16:44:19 +08:00
    一直自己写, 用路由的别名.
    ylsc633
        8
    ylsc633  
       2018-03-27 17:04:13 +08:00
    同 7 楼 直接把路由的别名当做权限的名!

    然后一个中间件 进行 权限判断!

    然后为了解决平行权限的问题,可以给 角色加个 Level

    对于超管这种的,可以不用管,直接全部权限!

    剩下的平行权限,就得 业务里去判断了!在中间件里写就浪费资源了..
    DavidNineRoc
        9
    DavidNineRoc  
    OP
       2018-03-27 17:52:54 +08:00
    @linxl
    @ylsc633 当我的 name 是中文的时候,具有提示意义,而且 name 很明显是用来显示名字的,我不会吝啬这一个字段,开发人员能看得懂,使用人员总要看 name 的。
    我这个设计是:用户永远不能直接拥有权限,只能通过角色继承。
    而且我不明白你要表达什么。前一句说在中间件里 进行权限判断。最后一句又说在中间件写判断是浪费资源。
    mcfog
        10
    mcfog  
       2018-03-27 18:37:03 +08:00
    功能模块纬度的权限总是权限问题里最简单的一块,即使是这样,楼主的方案里也还是可以补充一下关于菜单和操作按钮的实践

    真正恶心的是行权限 /列权限、读 /写权限的排列组合,还有管理权限的权限
    DavidNineRoc
        11
    DavidNineRoc  
    OP
       2018-03-28 09:36:46 +08:00
    @mcfog 操作按钮的显示直接通过判断来显示的。菜单会有一个字段标志 group 标识为哪个组
    ylsc633
        12
    ylsc633  
       2018-03-28 09:50:27 +08:00
    @DavidNineRoc name 用中文? 好吧,对于权限表,name 是 路由别名! display_name 是别名(中文) 所以你用来显示中文的.. 我并不是用 name 字段...

    中间件里 是 判断权限的! 但是 在中间件里判断平行权限 是浪费..因为不是所以的业务都有平行权限...

    下面这句话是我复制上面我自己的.. 很好理解啊

    "剩下的平行权限,就得 业务里去判断了!在中间件里写就浪费资源了.."
    DavidNineRoc
        13
    DavidNineRoc  
    OP
       2018-03-28 10:12:42 +08:00
    @ylsc633 我不想纠结字段这种小问题!不过我觉得我可能没说明白,中间件的问题;
    中间件的好处就是可以合理分配,比如我有 100 个路由,但是只有 49 个路由需要权限,
    我会把这 49 个路由放入一个路由组里,这个路由组会有中间件检验,这样可不会浪费资源。
    在 append 添加了图片,比如用户登录相关就不用权限认证,其他需要
    nextvay
        14
    nextvay  
       2018-03-30 09:44:45 +08:00
    说一个,我们这 saas 系统的路由权限,多企业,企业可以给当前企业管理员分配企业拥有的权限
    1,企业 username 名作为 角色名 username
    2,为 username 这个角色分配相应的权限,存储到 permission 表中
    3,企业 username 新建管理员,继承 username 角色的权限, 选取其中部分权限,存储到表中

    企业账户有自己权限,企业管理员有自己的权限
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1417 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 17:21 · PVG 01:21 · LAX 09:21 · JFK 12:21
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.