Laravel 权限控制新选择:使用 Laravel-authz 集成 PHP-Casbin

Laravel-authz
在 Laravel 项目开发中,权限管理是保证应用安全的关键环节。虽然 Laravel 自带了 Gate 和 Policy 授权机制,但在面对复杂权限需求时往往力不从心。今天介绍的是基于 Casbin 的 Laravel-authz 库,它能帮助你在 Laravel 项目中实现 RBAC(基于角色的访问控制)、ABAC(基于属性的访问控制)等高级权限模型。

什么是Casbin和Laravel-authz?

PHP-Casbin 是一个强大的、支持多种访问控制模型的开源授权库,它支持ACL、RBAC、ABAC等多种访问控制模型。

Laravel-authz 是专门为 Laravel 框架定制的Casbin扩展包,提供了无缝集成体验。

通过 Laravel-authz,你可以轻松管理用户权限、角色和资源关系,实现灵活且精细化的权限控制。

安装与配置

1. 安装包

使用 Composer 安装 Laravel-authz:

composer require casbin/laravel-authz

包安装后,ServiceProvider 和 Facade 会自动注册。

2. 发布配置和迁移

运行以下命令发布配置文件和执行数据库迁移:

php artisan vendor:publish
php artisan migrate

这将创建配置文件(config/lauthz.phpconfig/lauthz-rbac-model.conf)以及数据库表。

基本使用

管理权限和角色

使用Enforcer门面可以轻松管理权限和角色:

use Enforcer;

// 给用户添加权限
Enforcer::addPermissionForUser('eve', 'articles', 'read');

// 给用户添加角色
Enforcer::addRoleForUser('eve', 'writer');

// 给角色添加权限
Enforcer::addPolicy('writer', 'articles', 'edit');

检查权限

在代码中检查用户权限很简单:

if (Enforcer::enforce("eve", "articles", "edit")) {
    // 允许编辑文章
} else {
    // 拒绝请求,显示错误
}

使用中间件保护路由

Laravel-authz 提供了中间件来保护路由:

// 在app/Http/Kernel.php中注册中间件
protected $routeMiddleware = [
    // ...
    'enforcer' => \Lauthz\Middlewares\EnforcerMiddleware::class,
    'http_request' => \Lauthz\Middlewares\RequestMiddleware::class,
];

保护路由:

Route::group(['middleware' => ['enforcer:articles,read']], function () {
    // 需要文章读取权限的路由
});

对于 RESTful 资源,可以使用 RequestMiddleware:

Route::group(['middleware' => ['http_request']], function () {
    Route::resource('photo', 'PhotoController');
});

深度集成Laravel原生Auth系统

为了更好融入Laravel生态,可以深度集成 Casbin 到原生 Auth 系统。

1. 扩展用户提供器

// 在AuthServiceProvider中
Auth::provider('casbin', function($app, array $config) {
    return new class($app['hash'], $config['model']) extends EloquentUserProvider {
        public function retrieveById($identifier) {
            $user = parent::retrieveById($identifier);
            // 注入Casbin角色
            $user->setAttribute('roles', Enforcer::getRolesForUser('user:'.$identifier));
            return $user;
        }
    };
});

2. 配置自定义驱动

config/auth.php中:

'providers' => [
    'users' => [
        'driver' => 'casbin',
        'model' => App\Models\User::class,
    ],
]

3. 重写Gate行为

开发者可以使用 Laravel 的 Gates 检查一个用的权限:

$user->can('articles,read');
// For multiple enforcers
$user->can('articles,read', 'second');
// The methods cant, cannot, canAny, etc. also work

高级功能

多实例支持

Laravel-authz 支持配置多个权限控制实例:

// config/lauthz.php
return [
    'default' => 'basic',
    'basic' => [
        'model' => [/*...*/],
        'adapter' => Lauthz\Adapters\DatabaseAdapter::class,
    ],
    'second' => [
        'model' => [/*...*/],
    ],
];

// 使用特定实例
Enforcer::guard('second')->enforce("eve", "articles", "edit");

缓存优化

为了提高性能,可以启用策略缓存:

// config/lauthz.php
'cache' => [
    'enabled' => true,
    'store' => 'default',
    'key' => 'rules',
    'ttl' => 24 * 60,
]

Artisan命令

Laravel-authz 提供了方便的Artisan命令:

# 给用户添加策略
php artisan policy:add eve,articles,read

# 给角色添加策略
php artisan policy:add writer,articles,edit

# 给用户赋予角色
php artisan role:assign eve writer

性能优化建议

在生产环境中,可以考虑以下优化措施:

  1. 使用策略缓存中间件预加载策略
  2. 实现批量检查优化减少数据库查询
  3. 监控缓存命中率和平均鉴权耗时
  4. 设置灾备方案防止单点故障

总结

Laravel-authz 为 Laravel 项目提供了强大而灵活的权限控制解决方案。通过它可以轻松实现:

  • 多种访问控制模型:支持 ACL、RBAC、ABAC 等模型
  • 无缝集成:与 Laravel 原生 Auth 系统深度整合
  • 高性能:支持缓存和多种优化策略
  • 易于使用:提供友好的 API 和 Artisan 命令

无论你是构建小型项目还是复杂企业应用,Laravel-authz 都能提供可靠的权限管理支持。尝试一下这个强大的工具,让你的 Laravel 应用更加安全可靠!

更多详细信息和高级用法,可以参考 https://github.com/php-casbin/laravel-authz。

本作品采用《CC 协议》,转载必须注明作者和本文链接
《L02 从零构建论坛系统》
以构建论坛项目 LaraBBS 为线索,展开对 Laravel 框架的全面学习。应用程序架构思路贴近 Laravel 框架的设计哲学。
《L01 基础入门》
我们将带你从零开发一个项目并部署到线上,本课程教授 Web 开发中专业、实用的技能,如 Git 工作流、Laravel Mix 前端工作流等。
讨论数量: 4
Mutoulee

继续赞,持续赞,精品必赞!

17小时前 评论
JonLee (楼主) 15小时前

我是想要dcatadmin 那种数据库动态配置的,有什么推荐

17小时前 评论
JonLee (楼主) 15小时前

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容,与人为善,比聪明更重要!