Laravel 权限控制新选择：使用 Laravel-authz 集成 PHP-Casbin

在 Laravel 项目开发中，权限管理是保证应用安全的关键环节。虽然 Laravel 自带了 Gate 和 Policy 授权机制，但在面对复杂权限需求时往往力不从心。今天介绍的是基于 Casbin 的 Laravel-authz 库，它能帮助你在 Laravel 项目中实现 RBAC（基于角色的访问控制）、ABAC（基于属性的访问控制）等高级权限模型。

什么是Casbin和Laravel-authz？

PHP-Casbin 是一个强大的、支持多种访问控制模型的开源授权库，它支持ACL、RBAC、ABAC等多种访问控制模型。

Laravel-authz 是专门为 Laravel 框架定制的Casbin扩展包，提供了无缝集成体验。

通过 Laravel-authz，你可以轻松管理用户权限、角色和资源关系，实现灵活且精细化的权限控制。

安装与配置

1. 安装包

使用 Composer 安装 Laravel-authz：

composer require casbin/laravel-authz

包安装后，ServiceProvider 和 Facade 会自动注册。

2. 发布配置和迁移

运行以下命令发布配置文件和执行数据库迁移：

php artisan vendor:publish
php artisan migrate

这将创建配置文件（config/lauthz.php 和 config/lauthz-rbac-model.conf）以及数据库表。

基本使用

管理权限和角色

使用Enforcer门面可以轻松管理权限和角色：

use Enforcer;

// 给用户添加权限
Enforcer::addPermissionForUser('eve', 'articles', 'read');

// 给用户添加角色
Enforcer::addRoleForUser('eve', 'writer');

// 给角色添加权限
Enforcer::addPolicy('writer', 'articles', 'edit');

检查权限

在代码中检查用户权限很简单：

if (Enforcer::enforce("eve", "articles", "edit")) {
    // 允许编辑文章
} else {
    // 拒绝请求，显示错误
}

使用中间件保护路由

Laravel-authz 提供了中间件来保护路由：

// 在app/Http/Kernel.php中注册中间件
protected $routeMiddleware = [
    // ...
    'enforcer' => \Lauthz\Middlewares\EnforcerMiddleware::class,
    'http_request' => \Lauthz\Middlewares\RequestMiddleware::class,
];

保护路由：

Route::group(['middleware' => ['enforcer:articles,read']], function () {
    // 需要文章读取权限的路由
});

对于 RESTful 资源，可以使用 RequestMiddleware：

Route::group(['middleware' => ['http_request']], function () {
    Route::resource('photo', 'PhotoController');
});

深度集成Laravel原生Auth系统

为了更好融入Laravel生态，可以深度集成 Casbin 到原生 Auth 系统。

1. 扩展用户提供器

// 在AuthServiceProvider中
Auth::provider('casbin', function($app, array $config) {
    return new class($app['hash'], $config['model']) extends EloquentUserProvider {
        public function retrieveById($identifier) {
            $user = parent::retrieveById($identifier);
            // 注入Casbin角色
            $user->setAttribute('roles', Enforcer::getRolesForUser('user:'.$identifier));
            return $user;
        }
    };
});

2. 配置自定义驱动

在config/auth.php中：

'providers' => [
    'users' => [
        'driver' => 'casbin',
        'model' => App\Models\User::class,
    ],
]

3. 重写Gate行为

开发者可以使用 Laravel 的 Gates 检查一个用的权限：

$user->can('articles,read');
// For multiple enforcers
$user->can('articles,read', 'second');
// The methods cant, cannot, canAny, etc. also work

高级功能

多实例支持

Laravel-authz 支持配置多个权限控制实例：

// config/lauthz.php
return [
    'default' => 'basic',
    'basic' => [
        'model' => [/*...*/],
        'adapter' => Lauthz\Adapters\DatabaseAdapter::class,
    ],
    'second' => [
        'model' => [/*...*/],
    ],
];

// 使用特定实例
Enforcer::guard('second')->enforce("eve", "articles", "edit");

缓存优化

为了提高性能，可以启用策略缓存：

// config/lauthz.php
'cache' => [
    'enabled' => true,
    'store' => 'default',
    'key' => 'rules',
    'ttl' => 24 * 60,
]

Artisan命令

Laravel-authz 提供了方便的Artisan命令：

# 给用户添加策略
php artisan policy:add eve,articles,read

# 给角色添加策略
php artisan policy:add writer,articles,edit

# 给用户赋予角色
php artisan role:assign eve writer

性能优化建议

在生产环境中，可以考虑以下优化措施：

1. 使用策略缓存中间件预加载策略
2. 实现批量检查优化减少数据库查询
3. 监控缓存命中率和平均鉴权耗时
4. 设置灾备方案防止单点故障

总结

Laravel-authz 为 Laravel 项目提供了强大而灵活的权限控制解决方案。通过它可以轻松实现：

• 多种访问控制模型：支持 ACL、RBAC、ABAC 等模型
• 无缝集成：与 Laravel 原生 Auth 系统深度整合
• 高性能：支持缓存和多种优化策略
• 易于使用：提供友好的 API 和 Artisan 命令

无论你是构建小型项目还是复杂企业应用，Laravel-authz 都能提供可靠的权限管理支持。尝试一下这个强大的工具，让你的 Laravel 应用更加安全可靠！

更多详细信息和高级用法，可以参考 https://github.com/php-casbin/laravel-authz。

本作品采用《CC 协议》，转载必须注明作者和本文链接