Laravel 用户授权 Gate和Policy-低调大师

Laravel 用户授权 Gate和Policy

2018-01-22 585

要点：

Laravel 有 2 种主要方式来实现用户授权：gates 和策略。
Gates 接受一个当前登录用户的实例作为第一个参数。并且接收可选参数，比如相关的Eloquent 模型。
用命令生成策略 php artisan make:policy PostPolicy --model=Post
带--model参数生成的内容包含CRUD方法
Gate用在模型和资源无关的地方，Policy正好相反。

<?php

namespace App\Policies;

use App\User;
use App\Post;
use Illuminate\Auth\Access\HandlesAuthorization;

class PostPolicy
{
    use HandlesAuthorization;

    /**
     * Determine whether the user can view the post.
     *
     * @param  \App\User  $user
     * @param  \App\Post  $post
     * @return mixed
     */
    public function view(User $user, Post $post)
    {
        //
    }

    /**
     * Determine whether the user can create posts.
     *
     * @param  \App\User  $user
     * @return mixed
     */
    public function create(User $user)
    {
        //
    }

    /**
     * Determine whether the user can update the post.
     *
     * @param  \App\User  $user
     * @param  \App\Post  $post
     * @return mixed
     */
    public function update(User $user, Post $post)
    {
        //
    }

    /**
     * Determine whether the user can delete the post.
     *
     * @param  \App\User  $user
     * @param  \App\Post  $post
     * @return mixed
     */
    public function delete(User $user, Post $post)
    {
        //
    }
}

操作流程:

新建Post表及Model文件
php artisan make:migrate create_posts_table
php artisan make:model Post
表信息

    public function up()
    {
        Schema::create('posts', function (Blueprint $table) {
            $table->increments('id');
            $table->string('title');
            $table->integer('user_id')->unsigned();
            $table->text('body');
            $table->foreign('user_id')->references('id')->on('users')->onDelete('cascade');
            $table->timestamps();
        });
    }

填充数据，打开UserFactory添加

$factory->define(App\Post::class, function (Faker $faker) {
    return [
        'title' => $faker->sentence,
        'body' => $faker->paragraph,
        'user_id' => factory(\App\User::class)->create()->id,
    ];
});

Post表内容

image.png

routes/web.php添加
Route::resource('posts', 'PostsController');
定义Gate
打开 Proviers/AuthServiceProvider.php，修改boot方法

    public function boot()
    {
        $this->registerPolicies();

        // Gates 接受一个用户实例作为第一个参数，并且可以接受可选参数，比如 相关的 Eloquent 模型：
        Gate::define('update-post', function ($user, $post) {
            // return $user->id == $post->user_id;
            return $user->owns($post);
        });
    }

这里，在User模型中定义了own方法

    public function owns($post)
    {
        return $post->user_id === $this->id;
    }

PostsController中，只写一个show方法

    // Gate 演示
    public function show($id)
    {
        $post = Post::findOrFail($id);

        \Auth::loginUsingId(2);

        $this->authorize('update-post', $post);

        if (Gate::denies('update-post', $post)) {
            abort(403, 'sorry');
        }


        // compact('post') 等价于 ['post' => $post]
        return view('posts.view', compact('post'));
        // return $post->title;
    }

访问 /posts/1。会报403。这是因为我们是用user_id为2登录。

image.png

如果注释 $this->authorize('update-post', $post);，就会显示：

image.png
视图中判断Policy，如果post的user_id是当前登录用户，显示编辑链接。

@can('update', $post)
<a href="#">编辑</a>
@endcan

@can 和 @cannot 各自转化为如下声明：

@if (Auth::user()->can('update', $post))
    <!-- 当前用户可以更新博客 -->
@endif

@unless (Auth::user()->can('update', $post))
    <!-- 当前用户不可以更新博客 -->
@endunless

参考：https://d.laravel-china.org/docs/5.5/authorization

微信关注我们

原文链接：https://yq.aliyun.com/articles/681856

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

argarse.ArgumentParser.parse_known_args()解析

大致意思就是：有时间一个脚本只需要解析所有命令行参数中的一小部分，剩下的命令行参数给两一个脚本或者程序。在这种情况下，parse_known_args()就很有用。它很像parse_args()，但是它在接受到多余的命令行参数时不报错。相反的，返回一个tuple类型的命名空间和一个保存着余下的命令行字符的list。举个栗子，新建一个test.py文件，在文件中写入如下代码 1 2 3 4 5 6 7 8 9 10 11 import argparse parser = argparse.ArgumentParser() parser.add_argument( '--flag_int' , type = float , default = 0.01 , help = 'flag_int.' ) FLAGS, unparsed = parser.parse_known_args() print (FLAGS) print (unparsed) 结果如下： 1 2 3 $ python prog.py - - flag_int 0.02 - - double 0.03 a 1 N...

2018-01-23

672

有人说互联网是前端工程师的舞台，先不论这个说法是否有些夸大其词，但前端工程师绝对撑起了互联网应用开发的“半壁江山”。随着传统网站、手机应用、桌面应用、微信小程序等次第出现，需要前端工程师设计和完成的客户端功能逻辑在不断复杂化。那么，应该怎么定位前端工程师这个岗位，怎么描绘这个岗位的基本要求呢？下面让我们从前端的发展历史中寻找答案吧。 1. 前端工程师的发展历史 1990年，Tim Berners Lee发明了世界上第一个网页浏览器 WorldWideWeb。1995年，Brendan Eich 只用了10天便完成了第1版网页脚本语言（也就是目前我们所熟知的JavaScript）的设计。在网络条件与计算机设备比较落后的年代，网页基本是静态的。对网页脚本语言功能的最初设想仅仅是能够在浏览器中完成一些简单的校验，比如表单验证。所以网页脚本语言的特点是：功能简单、语法简洁、易学习、易部署。那个年代的Web应用是重服务器端、轻客户端的模式，Web开发人员以服务器端开发为主，同时兼顾浏览器端，没有所谓的前端工程师。 2005年AJAX 技术的问世令静态的网页“动”了起来，异步请求和局部刷新彻底改变...

2018-01-23

564

资源下载

更多资源

优质分享App

近一个月的开发和优化，本站点的第一个app全新上线。该app采用极致压缩，本体才4.36MB。系统里面做了大量数据访问、缓存优化。方便用户在手机上查看文章。后续会推出HarmonyOS的适配版本。

Mario

马里奥是站在游戏界顶峰的超人气多面角色。马里奥靠吃蘑菇成长，特征是大鼻子、头戴帽子、身穿背带裤，还留着胡子。与他的双胞胎兄弟路易基一起，长年担任任天堂的招牌角色。

Spring

Spring框架（Spring Framework）是由Rod Johnson于2002年提出的开源Java企业级应用框架，旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念，提供核心容器、应用上下文、数据访问集成等模块，支持整合Hibernate、Struts等第三方框架，其适用范围不仅限于服务器端开发，绝大多数Java应用均可从中受益。

Sublime Text

Sublime Text具有漂亮的用户界面和强大的功能，例如代码缩略图，Python的插件，代码段等。还可自定义键绑定，菜单和工具栏。Sublime Text 的主要功能包括：拼写检查，书签，完整的 Python API ， Goto 功能，即时项目切换，多选择，多窗口等等。Sublime Text 是一个跨平台的编辑器，同时支持Windows、Linux、Mac OS X等操作系统。