Laravel 用户授权 Gate和Policy-低调大师

Laravel 用户授权 Gate和Policy

2018-01-22 620

要点：

Laravel 有 2 种主要方式来实现用户授权：gates 和策略。
Gates 接受一个当前登录用户的实例作为第一个参数。并且接收可选参数，比如相关的Eloquent 模型。
用命令生成策略 php artisan make:policy PostPolicy --model=Post
带--model参数生成的内容包含CRUD方法
Gate用在模型和资源无关的地方，Policy正好相反。

<?php

namespace App\Policies;

use App\User;
use App\Post;
use Illuminate\Auth\Access\HandlesAuthorization;

class PostPolicy
{
    use HandlesAuthorization;

    /**
     * Determine whether the user can view the post.
     *
     * @param  \App\User  $user
     * @param  \App\Post  $post
     * @return mixed
     */
    public function view(User $user, Post $post)
    {
        //
    }

    /**
     * Determine whether the user can create posts.
     *
     * @param  \App\User  $user
     * @return mixed
     */
    public function create(User $user)
    {
        //
    }

    /**
     * Determine whether the user can update the post.
     *
     * @param  \App\User  $user
     * @param  \App\Post  $post
     * @return mixed
     */
    public function update(User $user, Post $post)
    {
        //
    }

    /**
     * Determine whether the user can delete the post.
     *
     * @param  \App\User  $user
     * @param  \App\Post  $post
     * @return mixed
     */
    public function delete(User $user, Post $post)
    {
        //
    }
}

操作流程:

新建Post表及Model文件
php artisan make:migrate create_posts_table
php artisan make:model Post
表信息

    public function up()
    {
        Schema::create('posts', function (Blueprint $table) {
            $table->increments('id');
            $table->string('title');
            $table->integer('user_id')->unsigned();
            $table->text('body');
            $table->foreign('user_id')->references('id')->on('users')->onDelete('cascade');
            $table->timestamps();
        });
    }

填充数据，打开UserFactory添加

$factory->define(App\Post::class, function (Faker $faker) {
    return [
        'title' => $faker->sentence,
        'body' => $faker->paragraph,
        'user_id' => factory(\App\User::class)->create()->id,
    ];
});

Post表内容

image.png

routes/web.php添加
Route::resource('posts', 'PostsController');
定义Gate
打开 Proviers/AuthServiceProvider.php，修改boot方法

    public function boot()
    {
        $this->registerPolicies();

        // Gates 接受一个用户实例作为第一个参数，并且可以接受可选参数，比如 相关的 Eloquent 模型：
        Gate::define('update-post', function ($user, $post) {
            // return $user->id == $post->user_id;
            return $user->owns($post);
        });
    }

这里，在User模型中定义了own方法

    public function owns($post)
    {
        return $post->user_id === $this->id;
    }

PostsController中，只写一个show方法

    // Gate 演示
    public function show($id)
    {
        $post = Post::findOrFail($id);

        \Auth::loginUsingId(2);

        $this->authorize('update-post', $post);

        if (Gate::denies('update-post', $post)) {
            abort(403, 'sorry');
        }


        // compact('post') 等价于 ['post' => $post]
        return view('posts.view', compact('post'));
        // return $post->title;
    }

访问 /posts/1。会报403。这是因为我们是用user_id为2登录。

image.png

如果注释 $this->authorize('update-post', $post);，就会显示：

image.png
视图中判断Policy，如果post的user_id是当前登录用户，显示编辑链接。

@can('update', $post)
<a href="#">编辑</a>
@endcan

@can 和 @cannot 各自转化为如下声明：

@if (Auth::user()->can('update', $post))
    <!-- 当前用户可以更新博客 -->
@endif

@unless (Auth::user()->can('update', $post))
    <!-- 当前用户不可以更新博客 -->
@endunless

参考：https://d.laravel-china.org/docs/5.5/authorization

微信关注我们

原文链接：https://yq.aliyun.com/articles/681856

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

argarse.ArgumentParser.parse_known_args()解析

大致意思就是：有时间一个脚本只需要解析所有命令行参数中的一小部分，剩下的命令行参数给两一个脚本或者程序。在这种情况下，parse_known_args()就很有用。它很像parse_args()，但是它在接受到多余的命令行参数时不报错。相反的，返回一个tuple类型的命名空间和一个保存着余下的命令行字符的list。举个栗子，新建一个test.py文件，在文件中写入如下代码 1 2 3 4 5 6 7 8 9 10 11 import argparse parser = argparse.ArgumentParser() parser.add_argument( '--flag_int' , type = float , default = 0.01 , help = 'flag_int.' ) FLAGS, unparsed = parser.parse_known_args() print (FLAGS) print (unparsed) 结果如下： 1 2 3 $ python prog.py - - flag_int 0.02 - - double 0.03 a 1 N...

2018-01-22

709

有人说互联网是前端工程师的舞台，先不论这个说法是否有些夸大其词，但前端工程师绝对撑起了互联网应用开发的“半壁江山”。随着传统网站、手机应用、桌面应用、微信小程序等次第出现，需要前端工程师设计和完成的客户端功能逻辑在不断复杂化。那么，应该怎么定位前端工程师这个岗位，怎么描绘这个岗位的基本要求呢？下面让我们从前端的发展历史中寻找答案吧。 1. 前端工程师的发展历史 1990年，Tim Berners Lee发明了世界上第一个网页浏览器 WorldWideWeb。1995年，Brendan Eich 只用了10天便完成了第1版网页脚本语言（也就是目前我们所熟知的JavaScript）的设计。在网络条件与计算机设备比较落后的年代，网页基本是静态的。对网页脚本语言功能的最初设想仅仅是能够在浏览器中完成一些简单的校验，比如表单验证。所以网页脚本语言的特点是：功能简单、语法简洁、易学习、易部署。那个年代的Web应用是重服务器端、轻客户端的模式，Web开发人员以服务器端开发为主，同时兼顾浏览器端，没有所谓的前端工程师。 2005年AJAX 技术的问世令静态的网页“动”了起来，异步请求和局部刷新彻底改变...

2018-01-22

590

资源下载

更多资源

Mario

马里奥是站在游戏界顶峰的超人气多面角色。马里奥靠吃蘑菇成长，特征是大鼻子、头戴帽子、身穿背带裤，还留着胡子。与他的双胞胎兄弟路易基一起，长年担任任天堂的招牌角色。

Nacos

Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service 的首字母简称，一个易于构建 AI Agent 应用的动态服务发现、配置管理和AI智能体管理平台。Nacos 致力于帮助您发现、配置和管理微服务及AI智能体应用。Nacos 提供了一组简单易用的特性集，帮助您快速实现动态服务发现、服务配置、服务元数据、流量管理。Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。

Rocky Linux

Rocky Linux（中文名：洛基）是由Gregory Kurtzer于2020年12月发起的企业级Linux发行版，作为CentOS稳定版停止维护后与RHEL（Red Hat Enterprise Linux）完全兼容的开源替代方案，由社区拥有并管理，支持x86_64、aarch64等架构。其通过重新编译RHEL源代码提供长期稳定性，采用模块化包装和SELinux安全架构，默认包含GNOME桌面环境及XFS文件系统，支持十年生命周期更新。

WebStorm

WebStorm 是jetbrains公司旗下一款JavaScript 开发工具。目前已经被广大中国JS开发者誉为“Web前端开发神器”、“最强大的HTML5编辑器”、“最智能的JavaScript IDE”等。与IntelliJ IDEA同源，继承了IntelliJ IDEA强大的JS部分的功能。