8.3. 权限系统

9.x

9.x 8.x 7.x 6.x 5.8 5.7 5.5 5.1

L01 Laravel 教程 - Web 开发实战入门 ( Laravel 9.x ) /

权限系统

现在的应用存在两个巨大的安全隐患：

未登录用户可以访问 edit 和 update 动作；
已登录用户可以更新其它用户的个人信息；

接下来让我们针对这两个安全隐患进行修复。

必须先登录

Laravel 中间件 (Middleware) 为我们提供了一种非常棒的过滤机制来过滤进入应用的 HTTP 请求，例如，当我们使用 Auth 中间件来验证用户的身份时，如果用户未通过身份验证，则 Auth 中间件会把用户重定向到登录页面。如果用户通过了身份验证，则 Auth 中间件会通过此请求并接着往下执行。Laravel 框架默认为我们内置了一些中间件，例如身份验证、CSRF 保护等。所有的中间件文件都被放在项目的 app/Http/Middleware 文件夹中。

接下来让我们使用 Laravel 提供身份验证（Auth）中间件来过...

本文章首发在 LearnKu.com 网站上。

为了保证课程的高品质，我们需要对课程进行收费。付费后才能观看剩余内容。购买

《L02 从零构建论坛系统》

以构建论坛项目 LaraBBS 为线索，展开对 Laravel 框架的全面学习。应用程序架构思路贴近 Laravel 框架的设计哲学。

《G01 Go 实战入门》

从零开始带你一步步开发一个 Go 博客项目，让你在最短的时间内学会使用 Go 进行编码。项目结构很大程度上参考了 Laravel。

讨论数量: 61

Gxpro

6年前

如何区分登录状态下进行登录和注册，并设定不同的闪存进行提醒？

14 个点赞 | 8 个回复 | 问答 | 课程版本 5.5

赖皮小鳄鱼

6年前

如何使用 authorize 用户未通过授权如何友好提示？

7 个点赞 | 16 个回复 | 问答 | 课程版本 5.5

fourn

6年前

教程中 “默认将会被重定向到 /login 登录页面”，请问如何修改？

7 个点赞 | 13 个回复 | 问答 | 课程版本 5.5

sphard

5年前

403 页面中文翻译文件报错了

3 个点赞 | 4 个回复 | 问答 | 课程版本 5.7

Mr_Guo

5年前

菜鸟请教一条 sql 急急急谢谢各位大佬了？

2 个点赞 | 15 个回复 | 问答 | 课程版本 5.5

Moonshadow2333

2年前

8.0版本报错未定义\Gate::guessPolicyNamesUsing()

2 个点赞 | 12 个回复 | 问答 | 课程版本 8.x

logic

5年前

中间件的用法？

1 个点赞 | 6 个回复 | 问答 | 课程版本 5.5

XiangyangZhu

5年前

怎么判断当前是不是管理员？

1 个点赞 | 3 个回复 | 问答 | 课程版本 5.5

qietugou

5年前

$this->authorize 产生的异常怎么捕获不到？

1 个点赞 | 2 个回复 | 问答 | 课程版本 5.5

shwfz01a

5年前

增加权限代码后无法退出？

0 个点赞 | 11 个回复 | 问答 | 课程版本 5.5

xingxiaoli

6年前

做了授权策略之后，用户还是可以访问别的用户的编辑页面，这是为啥呢?

0 个点赞 | 10 个回复 | 问答 | 课程版本 5.5

mfsslgs

5年前

关于页面 HTML 代码的问题？

0 个点赞 | 7 个回复 | 问答 | 课程版本 5.5

Stupid

5年前

只让未登录用户访问登录页面和注册页面,设置完之后如果退出登录的话会报错

0 个点赞 | 6 个回复 | 问答 | 课程版本 5.5

szlwl01

6年前

设置了需要登陆后才能访问，但是没登陆还是能访问个人信息页面，这是 way？

0 个点赞 | 6 个回复 | 问答 | 课程版本 5.5

keke996

5年前

Gate::guessPolicyNamesUsing () 报了 undefined，因为文档版本 5.7 在内容里推荐使用 5.8 的方法？

0 个点赞 | 5 个回复 | 问答 | 课程版本 5.7

zhaozhenghong

5年前

到用户只能编辑自己的资料时出错，报 "Class '\App\Models\User' not found"。我命名空间和文件路径都是对的，这是为什么呢？

0 个点赞 | 5 个回复 | 问答 | 课程版本 5.5

yowfung

6年前

如果上一次的请求是 “退出登录”，那么登录后就会被重定向到退出请求的路由那里去了，这个问题要怎么解决啊？

0 个点赞 | 5 个回复 | 问答 | 课程版本 5.5

Alexander-

4年前

Trying to get property 'headers' of non-object

0 个点赞 | 4 个回复 | 问答 | 课程版本 6.x

happyplay008

5年前

当前用户没有修改自己信息的权限？

0 个点赞 | 4 个回复 | 问答 | 课程版本 5.5

happyplay008

5年前

middleware 为什么 show 也要 except?

0 个点赞 | 4 个回复 | 问答 | 课程版本 5.5

yangyang2018

5年前

怎么我跟着教程做，也报这个错误的？

0 个点赞 | 4 个回复 | 问答 | 课程版本 5.5

geekerinn

5年前

为什么只让未登录用户访问注册页和只让未登录用户访问登陆页设置之后退出登录还可以访问任何页面？

0 个点赞 | 4 个回复 | 问答 | 课程版本 5.5

XiangyangZhu

6年前

当前用户没有修改自己信息的权限？

0 个点赞 | 4 个回复 | 问答 | 课程版本 5.5

Cockroack必死

6年前

跟着教程做，授权决策这里卡了?编辑当前用户也不行！

0 个点赞 | 4 个回复 | 问答 | 课程版本 5.5

youjson

5年前

当使用 id 为 1 去访问 id 为 2 的编辑页面时直接显示报错页面是否不妥?

0 个点赞 | 3 个回复 | 问答 | 课程版本 5.5

zhongjidalao

5年前

不能进入注册页面，点击会跳转到登陆界面？

0 个点赞 | 3 个回复 | 问答 | 课程版本 5.5

FakeSPrite

5年前

为什么文中中间件还没在 web.php 里面分配就可以直接用了！？

0 个点赞 | 3 个回复 | 问答 | 课程版本 5.5

Duanmonster

5年前

关于只让未登陆用户访问 create 方法的情况下,为什么未登录用户还可以访问 store 方法？

0 个点赞 | 3 个回复 | 问答 | 课程版本 5.5

xinjiahui

6年前

登录用户 1，访问用户 2 的编辑页面，还是会有报错？

0 个点赞 | 3 个回复 | 问答 | 课程版本 5.5

yunshu2009

6年前

按照教程做，编辑登录用户和非登录用户信息都报未验证异常，不知道是啥原因？

0 个点赞 | 3 个回复 | 问答 | 课程版本 5.5

cxgang

6年前

$this->authorize ('update', $user);为啥不写在 update 方法的第一行？

0 个点赞 | 3 个回复 | 问答 | 课程版本 5.5

shebaoting

4年前

授权策略 (UserPolicy) 的意义是什么？授权策略为什么不能写在控制器里呢？

0 个点赞 | 2 个回复 | 问答 | 课程版本 6.x

holyLight

4年前

进入 tinker 时提示 “找不到 registerPolicies ()”

0 个点赞 | 2 个回复 | 问答 | 课程版本 5.8

phpervip

4年前

PHP artisan make:policy UserPolicy 已解决

0 个点赞 | 2 个回复 | 问答 | 课程版本 5.8

David_lk

5年前

except 里面为什么会有 show 方法？ show 方法不应该是登陆才可以访问的吗

0 个点赞 | 2 个回复 | 问答 | 课程版本 5.7

smalltide

5年前

update (User $currentUser, User $user) 問題

0 个点赞 | 2 个回复 | 问答 | 课程版本 5.5

jiangpanyue

5年前

退出頁面報錯

0 个点赞 | 2 个回复 | 问答 | 课程版本 5.5

Stupid

5年前

第一个参数默认为当前登录用户实例，第二个参数则为要进行授权的用户实例?

0 个点赞 | 2 个回复 | 问答 | 课程版本 5.5

sept-me

5年前

请问对 Auth 中间件的 only 跟 except 的理解对吗？

0 个点赞 | 2 个回复 | 问答 | 课程版本 5.5

leicesl

4年前

我照第 8.3 章操作時出現 Target class [quest] does not exist. 請問是什麼原因呢？

0 个点赞 | 1 个回复 | 问答 | 课程版本 6.x

qingshui

4年前

intended () 重新定向问题

0 个点赞 | 1 个回复 | 问答 | 课程版本 6.x

cyan

4年前

请问 Auth 中间件与 Auth::logout () 中的 Auth 有什么联系吗?

0 个点赞 | 1 个回复 | 问答 | 课程版本 5.8

huanwuxusheng

4年前

中间件检测

0 个点赞 | 1 个回复 | 分享 | 课程版本 5.8

Yuan_

5年前

无需登录，通过改写 url 即可进入用户 show 页面？？？

0 个点赞 | 1 个回复 | 问答 | 课程版本 5.7

Narcissus

5年前

所有的逻辑都是写在控制器中吗?这是否是 Laravel 的最佳实践?`

0 个点赞 | 1 个回复 | 问答 | 课程版本 5.5

wongvio

5年前

如果我用 Auth 判断用户是不是自己本身，会有什么问题？？

0 个点赞 | 1 个回复 | 问答 | 课程版本 5.5

wongvio

5年前

为什么要 'except' => ['show', 'create', 'store'] 呢？[已解决]

0 个点赞 | 1 个回复 | 问答 | 课程版本 5.5

lanmingzi

5年前

为什么 RedirectIfAuthenticated 里面不能用 return redirect ('home');？

0 个点赞 | 1 个回复 | 问答 | 课程版本 5.5

lijian159

5年前

在设置中间件时,为什么把 show 方法在设置为不需要中间件验证过滤的动作？

0 个点赞 | 1 个回复 | 问答 | 课程版本 5.5

Hpeng

6个月前

测试使用guest属性下的only后登陆后的页面全部跳转到home或一个路径

0 个点赞 | 0 个回复 | 问答 | 课程版本 9.x

xll123

2年前

Gate::guessPolicyNamesUsing(）原理

0 个点赞 | 0 个回复 | 分享 | 课程版本 8.x

kakaxi

3年前

为什么输入密码登录的时候，也会提示 “无需再次操作”

0 个点赞 | 0 个回复 | 问答 | 课程版本 7.x

qymsw

3年前

SessionsController中间件'guest'跟UsersController一样

0 个点赞 | 0 个回复 | 问答 | 课程版本 6.x

渔郎

4年前

edit () 方法中添加了 $this->authorize ('update', $user); 后报错

0 个点赞 | 0 个回复 | 分享 | 课程版本 6.x

lijian159

4年前

在控制已登录的用户无法再次访问 weibo.test/login 页面，是不是写错控制器了

0 个点赞 | 0 个回复 | 问答 | 课程版本 6.x

zhaohongrui

4年前

登录用户点击编辑资料打不开报错 403

0 个点赞 | 0 个回复 | 问答 | 课程版本 5.8

linghucq

5年前

前面的教程是基于 5.7.* 的，但是这里突然出现了 5.8 的 guessPolicyNamesUsing，导致报错了

0 个点赞 | 0 个回复 | 问答 | 课程版本 5.7

dwtmtdh

5年前

5.5 如何可以出现 5.8 的这中错误提示页面呀？是不是要在 Composer 里面引入什么组建？

0 个点赞 | 0 个回复 | 问答 | 课程版本 5.5

poison

5年前

Auth 未登录用户 403

0 个点赞 | 0 个回复 | 问答 | 课程版本 5.7

cjm1288

5年前

SessionsController.php 中，guest 只能访问 create 方法, 两样是未登录状态，为什么能访问：store 方法呢

0 个点赞 | 0 个回复 | 问答 | 课程版本 5.7

huosuyun

5年前

如果用户未通过身份验证则 Auth 中间件会把用户重定向到登录页面？

0 个点赞 | 0 个回复 | 问答 | 课程版本 5.5