laravel 基础教程 —— 授权

授权

简介

laravel
除了提供开箱即用的授权服务,还提供了无数简练的办法来治本授权逻辑和财富的访问控制。这几个各式的点子和声援函数便于你管理你的授权逻辑。我们将在本章中对其进展逐个的解读。

概念能力

认清2个用户是或不是富有实践给定动作的能力的最简易的法子就是行使
Illuminate\Auth\Access\Gate 类去定义相应的力量。laravel 所提供的
AuthServiceProvider
类是概念这一个力量的推介地方。让我们来看个示范,我们定义二个 update-post
的能力,这些力量接收3个脚下 User 和一个 Post
模型。在那么些力量中,大家要求判定用户的 id 与 post 的 user_id
是或不是匹配:

<?php

namespace App\Providers;

use Illuminate\Contracts\Auth\Access\Gate as GateContract;
use Illuminate\Foundation\Support\Providers\AuthServiceProvider as ServiceProvider;

class AuthServiceProvider extends ServiceProvider
{
  /**
   * Register any application authentication / authorization services.
   *
   * @param \Illuminate\Contracts\Auth\Access\Gate $gate
   * @return void
   */
   public function boot(GateContract $gate)
   {
     $this->registerPolicies($gate);

     $gate->define('update-post', function ($user, $post) {
       return $user->id === $post->user_id;
     });
   }
}

专注下面的言传身教中大家并不曾检查所给定的 $user 是否为
NULL。那是因为当给定的用户并未经过认证或然用户没有通过 forUser
方法指定,Gate 类会自动的为拥有的力量重回 false

基于类的力量

除去接纳 Closures
的点子作为授权检查的回调来注册能力,你还足以经过传递类中的方法来进展力量的挂号,当须要的时候,类会通过劳动容器来分析:

$gate->define('update-post', 'Class@method');

授权检查拦截器

偶尔,你大概须要向少数特殊用户发放所有力量的通行证,这些时候,你可以利用
before 方法来定义三个回调,它会在具备的授权检查此前运营:

$gate->before(function ($user, $ability) {
  if ($user->isSuperAdmin()) {
    return true;
  }
});

如果 before 的回调函数重返2个非空的结果,那么该结果将用作检查的结果。

您也能够行使 after
方法来定义三个在各种能力授权检查过后执行的回调函数,可是,你不可以在这几个回调函数内修改反省的结果:

$gate->after(function ($user, $ability, $result, $arguments) {
  //
});

自小编批评能力

通过 Gate 假面

万一二个力量被定义达成,大家就可以通过各样措施来开展力量的检查。首先,大家可以利用
Gate 假面的 checkallows,或者 denies
方法。所有的那个办法都会收下能力的称号,并且会把额外的参数传递给相应能力的回调函数中。你并不需求传递当前的用户到这么些措施中,Gate
会自动的放置当前用户到参数中并传递给能力的回调函数。所以当大家检查早前定义的
update-post 能力时,我们只须要传递 Post 的实例到 denies
方法中就可以了:

<?php

namespace App\Http\Controllers;

use Gate;
use App\User;
use App\Post;
use App\Http\Controllers\Controller;

class PostController extends Controller
{
  /**
   * Update the given post.
   *
   * @param int $id
   * @return Response
   */
   public function update($id)
   {
     $post = Post::findOrFail($id);

     if (Gate::denies('update-post', $post)) {
        abort(403);
     }

     // Update Post ...
   }
}

当然,allows 方法与 denies 相反,假若动作被授权通过则赶回 true.
check 方法就是 allows 方法的别名。

对点名的用户检查能力

如若您想要使用 Gate
假面来检查非当前经授权通过用户的其余用户是或不是拥有相应的力量,你可以利用
forUser 方法:

if (Gate::forUser($user)->allows('update-post', $post)) {
  //
}

传送几个参数

自然,能力的回调函数可以接到七个参数:

Gate:define('delete-comment', function ($user, $post, $comment) {
  // 
});

借使你的力量急需接受八个参数,你可以大致的通过 Gate
假面的点子举行传递3个经多少个参数所组成的数组:

if (Gate::allows('delete-comment', [$post, $comment])) {
  //
}

由此用户模型检查能力

实则,你可以经过 User 模型的实例来检查用户的能力。暗许的 laravel 的
App\User 模型使用了 Authorizable trait,那几个特点包括八个艺术:can
cannot。那多少个方法和 Gate 假面的 allowsdenies
方法的用法相同。大家还运用方面曾利用过的例子,修改成如下:

<?php

namespace App\Http\Controllers;

use App\Post;
use Illuminate\Http\Request;
use App\Http\Controllers\Controller;

class PostController extends Controller
{
  /**
   * Update the given post.
   *
   * @param \Illuminate\Http\Request $request
   * @param int $id
   * @return Response
   */
   public function update(Request $request, $id)
   {
     $post = Post::findOrFail($id);

     if ($request->user()->cannot('update-post', $post)) {
       abort(403);
     }

     // Update Post...
   }
}

当然,can 方法与 cannot 的相反:

if ($request->user()->can('update-post', $post)) {
  // Update Post...
}

在 Blade 模板中检查能力

为了便于,laravel 提供了 @can Blade
指令来很快的检查当前授权的用户是不是享有指定的能力。比如:

<a href="/post/{{ $post->id }}">View Post</a>

@can('update-post', $post)
  <a href="/post/{{ $post->id }}/edit">Edit Post</a>
@endcan

你也足以通过 @else 指令来同盟 @can 指令:

@can('update-post', $post)
  <!-- The Current User Can Update The Post -->
@else
  <!-- The Current User Can't Update The Post -->
@endcan

在表单请求中检查能力

你也可以因而采用表单请求(继承自
Request,用于表单验证的请求类)中自定义的 authoriza 方法来验证 Gate
假面中定义的力量:

/**
 * Determine if the user is authorized to make this request.
 *
 * @return bool
 */
 public function authorize()
 {
   $postId = $this->route('post');

   return Cate::allows('update', Post::findOrFail($postId));
 }

策略(Policies)

创造策略

为了不让你把拥有的授权逻辑全部放进 AuthServiceProvider
从而使利用增进为3个天翻地覆而笨重的行使。 laravel 允许你通过 Policy
类来分别你的授权逻辑。策略类其实就是三个分包授权逻辑组的原生 PHP 类。

第一,让大家来生成一个方针来保管大家的 Post 的授权。你可以透过
make:policy 命令来生成七个策略。所生成的策略会存放在 app/Policies
目录:

php artisan make:policy PostPolicy

挂号策略

假定政策存在,大家还索要在 Gate 类中举办注册。在 AuthServiceProvider
中隐含了二个 policies
属性,该属性存放所有实体与策略间的映照。所以,大家必要将 Post
模型的政策指定到 PostPolice 类:

<?php

namespace App\Providers;

use App\Post;
use App\Policies\PostPolicy;
use Illuminate\Foundation\Support\Providers\AuthServiceProvider as ServiceProvider;

class AuthServiceProvider extends ServiceProvider
{
  /**
   * The policy mappings for the application.
   *
   * @var array
   */
   protected $policies = [
     Post::class => PostPolicy::class,
   ];

   /**
    * Register any application authentication / authorization services.
    * 
    * @param \Illuminate\Contracts\Auth\Access\Gate $gate
    * @return void
    */
    public function boot(GateContract $gate)
    {
      $this->registerPolicies($gate); 
    }
}

编纂策略

如若政策被转移和挂号后,大家就足以为保有力量的授权添加验证办法。例如,让大家在
PostPolicy 类中定义一个 update 方法,用来注明所给定的用户是或不是持有
update Post 的能力:

<?php

namespace App\Policies;

use App\Uesr;
use App\Post;

class PostPolicy
{
  /**
   * Determine if the given post can be updated by the user.
   *
   * @param \App\User $user
   * @param \App\Post $post
   * @return bool
   */
   public function update(User $user, Post $post)
   {
     return $user->id === $post->user_id;
   }
}

您可以继续在策略中添加其他所需举办授权验证的法子。比如,你可以继承为验证
Post 的各样动作而定义 showdestroy,或者 addComment 方法。

小心:所有的策略类都是通过劳动容器解析而来。那意味你可以行使项目指示来在策略类的构造函数中展开重视注入所急需的器重。

阻止所有检查

有时,你大概要求发放给指定用户拥有所有能力的通行证,那时候,你可以在策略类中定义
before 方法。该方法会在政策中其余兼具办法被实施前运转:

public function before($user, $ability)
{
  if ($user->isSuperAdmin()) {
    return true;
  }
}

如果 before
方法再次回到二个非空值,那么其结果将会用来作为授权验证的结果的论断依据。

自我批评策略

策略类的方法和依照授权回调的法子同样通过一致的办法作为 Closure
被调用。你可以应用 Gate 假面,User 模型,@can Blade 指令或许
policy helper 来开展授权的检查。

通过 Gate 假面

Gate
会通过检查传递给艺术中参数的连串来确定相应运用哪种政策。所以,要是大家传递
Post 实例到 denies 方法,Gate 将会自行的行使相呼应的 PostPolicy
来展开授权验证:

<?php

namespace App\Http\Controllers;

use Gate;
use App\User;
use App\Post;
use App\Http\Controllers\Controller;

class PostController extends Controller
{
  /**
   * Update the given post.
   * 
   * @param int $id
   * @return Response
   */
   public function update($id)
   {
     $post = Post::findOrFail($id);

     if (Gate::denies('update', $post)) {
       abort(403);
     }

     // Update Post...
   }
}

经过用户的模型

User 模型中的 cancannot
方法也会在所给定参数可用时自动匹配相应的政策。那个形式提供了一种便民的章程去印证任意用户实例是或不是具有所给定的能力:

if ($user->can('update', $post)) {
  //
}

if ($user->cannot('update', $post)) {
  //
}

通过 Blade 模板

就如大家所梦想的,@can Blade
指令会在所给定参数可用时自动匹配相应的策略:

@can('update', $post)
  <!-- The Current User Can update The Post -->
@endcan
```

**通过策略 Helper**

全局帮助方法 `policy` 可以通过所给定的类解析相应的 `Policy` 类。例如,我们可以传递一个 `Post` 实例到 `policy` 帮助方法,该方法会返回相应的 `PostPolicy` 类:

```php
if (policy($post)->update($user, $post)) {
  //
}
```

## 控制器授权

默认的,在 laravel 中基于 `Ap\Http\Controllers\Controller` 的类都引入了 `AuthorizesRequests` trait(性状)。该性状提供了 `authorize` 方法来快速的验证所给定的动作是否有执行的能力,如果不具备相应的能力会抛出一个 `HttpException` 。

`authorize` 方法共享了其它授权方法的签证方式,如 `Gate::allows` 和 `$user->can()`。那么,让我们来使用 `authorize` 方法快速的鉴别一个请求是否具有更新 `Post` 的能力:

```php
<?php

namespace App\Http\Controllers;

use App\Post;
use App\Http\Controllers\Controller;

class PostController extends Controller
{
  /**
   * Update the given post.
   *
   * @param int $id
   * @return Response
   */
   public function update($id)
   {
     $post = Post::findOrFail($id);

     $this->authorize('update', $post);

     // Update Post...
   }
}
```

如果这个动作通过了授权,控制器将继续执行下面的逻辑。否则会自动的抛出一个 `HttpException` 错误,这个错误会生成一个 `403 Not Authorized` 的 Http 响应。就如你所看到的, `authorize` 方法是一个非常方便的方法,它的方便之处就在于只使用一条语句执行了授权的验证或抛出异常。

`AuthorizeRequests` trait 也提供了 `authorizeForUser` 方法来进行非当前用户的用户与给定能力的鉴权:

```php
$this->authorizeForUser($user, 'update', $post);
```

**自动的确定策略方法**

通常的,策略类中的方法是与控制器中的方法相对应的。比如在上面的 `update` 方法中,控制器的方法和策略的方法使用了相同的命名: `update`。

由于这个原因,laravel 允许你通过简单的传递一个实例参数到 `authorize` 方法,在能力的鉴定中,laravel 会根据当前方法的命名自动的确定策略方法的调用。在上面的例子中,由于 `authorize` 方法是在控制器中的 `update` 方法中调用的,所以 `PostPolicy` 中的 `update` 将会被调用:

```php
/**
 * Update the given post.
 * 
 * @param int $id
 * @return Response
 */
 public function update($id)
 {
   $post = Post::findOrFail($id);

   $this->authorize($post);

   // Update Post...
 }
```

相关文章