Laravel
话题列表 社区 Wiki 优质外文 招聘求职 Laravel 实战教程 社区文档
登录
注册

Laravel 使用 Entrust 实现 RBAC(二)

river_bird 的个人博客 / 1350 / 0 / 创建于 5年前 / 更新于 5年前

1、创建角色并进行分配

<?php
namespace App;

use Illuminate\Support\Facades\Log;
use Zizaco\Entrust\EntrustRole;

class Role extends EntrustRole
{
    /**
     * 创建角色
     * @param $name
     * @param $display_name
     * @param $description
     * @return bool
     * @throws \Exception
     */
    protected function createRole($name,$display_name,$description){

        try {
            $role = new Role();
            $role->name = $name;
            $role->display_name = $display_name;
            $role->description = $description;
            $role->save();
        }catch (\Exception $e){
            Log::info($e->getMessage());
            throw new \Exception('创建角色失败');
        }
        return true;
    }

    /**
     * 给用户添加角色
     * @param $userId
     * @param $roleId
     * @return bool
     * @throws \Exception
     */
    protected function distributeRole($userId,$roleId){

        try{
            $user = User::find($userId);
            $user->attachRole($roleId);
        }catch (\Exception $e){
            Log::info($e->getMessage());
            throw new \Exception('角色分配失败');
        }
        return true;
    }

}

2、创建权限并且分配到对应的角色

<?php

namespace App;
use Zizaco\Entrust\EntrustPermission;

class Permission extends EntrustPermission
{
    /**
     * 创建权限
     * @param $name
     * @param $displayName
     * @param $description
     * @param $roleId
     * @return bool
     */
    protected function createPermission($name , $displayName , $description , $roleId){

        try {
            $permission = new Permission();
            $permission->name = $name;
            $permission->display_name = $displayName;
            $permission->description = $description;
            $permission->save();
            $role = Role::find($roleId);
            if($role){
                $role->attachPermission($permission);
            }
        }catch (\Exception $e){
            return false;
        }
        return true;
    }

}

2、检查角色&权限

$user->hasRole('owner'); // false
$user->hasRole('admin'); // true
$user->can('edit-user'); // true
$user->can('create-post'); // true

hasRole()和can都可以接收数组形式的角色和权限进行检查:

$user->hasRole(['owner', 'admin']); // true
$user->can(['edit-user', 'create-post']); // true

默认情况下,如果用户拥有以上任意一个角色或权限都会返回true,如果你想检查用户是否拥有所有角色及权限,可以传递true作为第二个参数到相应方法:

$user->hasRole(['owner', 'admin']); // true
$user->hasRole(['owner', 'admin'], true); // false
$user->can(['edit-user', 'create-post']); // true
$user->can(['edit-user', 'create-post'], true); // false

可以通过Entrust门面检查当前登录用户是否拥有指定角色和权限:

Entrust::hasRole('role-name');
Entrust::can('permission-name');

可以通过通配符的方式来检查用户权限:

// match any admin permission
$user->can("admin.*"); // true

// match any permission about users
$user->can("*_users"); // true

3、ability方法
还可以通过使用ability方法来实现更加高级的检查,这需要三个参数(角色、权限、选项),同样角色和权限既可以是字符串也可以是数组:
$user->ability(array('admin', 'owner'), array('create-post', 'edit-user'));
// 或者
$user->ability('admin,owner', 'create-post,edit-user');
这将会检查用户是否拥有任意提供的角色和权限,在本例中会返回true,因为用户的角色是admin并且拥有create-post权限。

第三个参数是一个可选数组:

$options = array(
    'validate_all' => true | false (Default: false),
    'return_type' => boolean | array | both (Default: boolean)
);

其中validate_all是一个布尔值,用于设置是否检查所有值;return_type用于指定返回布尔值、检查值数组还是两者都有。

下面是一个输出示例:

$options = array(
    'validate_all' => true,
    'return_type' => 'both'
);

list($validate, $allValidations) = $user->ability(
    array('admin', 'owner'),
    array('create-post', 'edit-user'),
    $options
);

var_dump($validate);
// bool(false)

var_dump($allValidations);
// array(4) {
//     ['role'] => bool(true)
//     ['role_2'] => bool(false)
//     ['create-post'] => bool(true)
//     ['edit-user'] => bool(false)
// }

同样,Entrust门面也为当前登录用户提供了ability方法:

Entrust::ability('admin,owner', 'create-post,edit-user');
// 等价于
Auth::user()->ability('admin,owner', 'create-post,edit-user');

4、Blade模板
在Blade模板中也可以使用上述三个方法对应的指令:

@role('admin')
    <p>This is visible to users with the admin role. Gets translated to
    \Entrust::role('admin')</p>
@endrole

[@permission](https://learnku.com/users/3492)('manage-admins')
    <p>This is visible to users with the given permissions. Gets translated to
    \Entrust::can('manage-admins'). The [@can](https://learnku.com/users/12729) directive is already taken by core
    laravel authorization package, hence the [@permission](https://learnku.com/users/3492) directive instead.</p>
@endpermission

@ability('admin,owner', 'create-post,edit-user')
    <p>This is visible to users with the given abilities. Gets translated to
    \Entrust::ability('admin,owner', 'create-post,edit-user')</p>
@endability

5、中间件
你可以在中间件中通过角色或权限来过滤路由以及路由群组:

Route::group(['prefix' => 'admin', 'middleware' => ['role:admin']], function() {
    Route::get('/', 'AdminController@welcome');
    Route::get('/manage', [
        'middleware' => ['permission:manage-admins'], 
        'uses' => 'AdminController@manageAdmins'
    ]);
});

支持OR/AND逻辑:

'middleware' => ['role:admin|root']
'middleware' => ['permission:owner', 'permission:writer']

同样可以使用ability中间件:
'middleware' => ['ability:admin|owner,create-post|edit-user,true']

6、路由过滤器的快捷实现
通过权限和角色过滤路由你还可以在app/Http/routes.php调用如下代码:

// 只有拥有'create-post'权限对应角色的用户才能访问admin/post*
Entrust::routeNeedsPermission('admin/post*', 'create-post');

// 只有所有者才能访问admin/advanced*
Entrust::routeNeedsRole('admin/advanced*', 'owner');

// 第二个参数可以是数组,这样用户必须满足所有条件才能访问对应路由
Entrust::routeNeedsPermission('admin/post*', array('create-post', 'edit-comment'));
Entrust::routeNeedsRole('admin/advanced*', array('owner','writer'));

以上方法都可以接受第三个参数,如果第三个参数为空那么禁止访问默认调用App::abort(403),否则会返回第三个参数,所以我们可以这么做:

Entrust::routeNeedsRole('admin/advanced*', 'owner', Redirect::to('/home'));
甚至还可以接受第四个参数,该参数默认为true,意味着将会检查提供的所有角色和权限,如果你将其设置为false,则该方法只有在所有角色/权限都不满足才会返回失败:

// 如果用户拥有'create-post'、'edit-comment'其中之一或者两个权限都具备则可以访问
Entrust::routeNeedsPermission('admin/post*', array('create-post', 'edit-comment'), null, false);

// 如果用户是所有者、作者或者都具备则可以访问
Entrust::routeNeedsRole('admin/advanced*', array('owner','writer'), null, false);

Entrust::routeNeedsRoleOrPermission(
    'admin/advanced*',
    array('owner', 'writer'),
    array('create-post', 'edit-comment'),
    null,
    false
);

7、路由过滤器
Entrust角色/权限可通过调用Entrust门面上的can和hasRole方法应用在过滤器中:

Route::filter('manage_posts', function()
{
    // check the current user
    if (!Entrust::can('create-post')) {
        return Redirect::to('admin');
    }
});

// 只有用户对应角色拥有 'manage_posts' 权限才能访问任意 admin/post 路由
Route::when('admin/post*', 'manage_posts');
使用过滤器来检查角色:

Route::filter('owner_role', function()
{
    // check the current user
    if (!Entrust::hasRole('Owner')) {
        App::abort(403);
    }
});

// 只有所有者才能访问 admin/advanced 路由
`Route::when('admin/advanced', 'owner_role');`
正如你所看到的,Entrust::hasRole和Entrust::can方法检查用户是否登录、然后才去判断他们是否有用指定角色或权限,如果用户没有登录则直接返回false。

本作品采用《CC 协议》,转载必须注明作者和本文链接
river_bird
42 声望
暂无个人描述~
《L05 电商实战》
《L05 电商实战》
从零开发一个电商项目,功能包括电商后台、商品 & SKU 管理、购物车、订单管理、支付宝支付、微信支付、订单退款流程、优惠券等
《G01 Go 实战入门》
《G01 Go 实战入门》
从零开始带你一步步开发一个 Go 博客项目,让你在最短的时间内学会使用 Go 进行编码。项目结构很大程度上参考了 Laravel。
讨论数量: 0
排序:
时间 投票
(= ̄ω ̄=)··· 暂无内容!

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容,与人为善,比聪明更重要!
支持 MD 帮助
river_bird
未填写
文章
7
粉丝
4
喜欢
24
收藏
18
排名:259
访问:3.7 万
私信
所有博文
文章归档
1 篇 2018 年 10 月 1 篇 2018 年 9 月 5 篇 2018 年 7 月
最新文章 最受欢迎
5年前 Linux 下搭建 SVN 服务 5年前 Laravel 事件系统(一)、小试牛刀 5年前 Laravel 使用 Intervention/image 处理图片 5年前 Linux 下安装 Composer 5年前 Laravel 使用 Entrust 实现 RBAC(二)
7 Laravel 使用 Intervention/image 处理图片 4 Laravel 创建分类日志 4 Laravel 使用 Entrust 实现 RBAC(一) 4 Laravel 使用 Entrust 实现 RBAC(二) 3 Linux 下搭建 SVN 服务
博客标签
svn
1
社区赞助商
成为赞助商

关于 LearnKu

LearnKu 是终身编程者的修道场
做最专业、严肃的技术论坛
LearnKu 诞生的故事

资源推荐

  • 《社区使用指南》
  • 《文档撰写指南》
  • 《LearnKu 社区规范》
  • 《提问的智慧》

    • 服务提供商

    其他信息

  • 成为版主
  • 所有测验
  • 联系站长(反馈建议)

    • 粤ICP备18099781号-6 | 粤公网安备 44030502004330号 | 违法和不良信息举报

    Summer 设计和编码

    请登录

    内容举报
    匿名举报,为防止滥用,仅管理员可见举报者。

    我要举报该,理由是:

    取消