权限控制

未匹配的标注
本文档最新版为 2.x,旧版本可能放弃维护,推荐阅读最新版!

权限控制

Dcat Admin已经内置了RBAC权限控制模块,展开左侧边栏的Auth,下面有用户、角色、权限三项的管理面板,权限控制的使用如下:

路由控制

Dcat Admin中,权限和路由是绑定在一起的,在编辑权限页面里面设置当前权限能访问的路由,在HTTP方法select框中选择访问路由的方法,在HTTP路径中填写能访问的路径。

比如要添加一个权限,该权限可以以GET方式访问路径/admin/users,那么HTTP方法选择GETHTTP路径填写/users

如果要访问前缀是/admin/users的所有路径,那么HTTP路径填写/users*;如果要访问的是编辑页,那么HTTP路径填写/users/*/edit;如果多个路径中每个路径的方法不同,那么HTTP路径填写GET:users/*

Since v1.7.0

如果上述的方法不能满足需求,HTTP路径还支持填写路由别名,如admin.users.show

禁用权限功能

Since v1.5.3

admin.auth.enable配置参数的值设置为false可以完全禁用内置的权限系统。

跳过权限验证

可以把需要跳过权限验证的接口加入到配置文件admin.permission.except参数中

    'permission' => [
        // Whether enable permission.
        'enable' => true,

        // All method to path like: auth/users/*/edit
        // or specific method to path like: get:auth/users.
        'except' => [
            '/',
            'auth/login',
            'auth/logout',
            'auth/setting',
        ],

    ],

页面控制

如果你要在页面中控制用户的权限,可以参考下面的例子

场景1

比如现在有一个场景,对文章发布模块做权限管理,以创建文章为例

首先创建一项权限,进入http://localhost/admin/auth/permissions,权限标识(slug)填写create-post,权限名称填写创建文章,这样权限就创建好了。

第二步可以把这个权限直接附加给个人或者角色,在用户编辑页面可以直接把上面创建好的权限附加给当前编辑用户,也可以在编辑角色页面附加给某个角色。

第三步,在创建文章控制器里面添加控制代码:

use Dcat\Admin\Auth\Permission;

class PostController extends Controller
{
    public function create()
    {
        // 检查权限,有create-post权限的用户或者角色可以访问创建文章页面
        Permission::check('create-post');
    }
}

这样就完成了一个页面的权限控制。

场景2

如果你要在表格中控制用户对元素的显示,那么需要先定义两个权限,比如权限标示delete-image、和view-title-column分别用来控制有删除图片的权限和显示某一列的权限,把这两个权限赋给你设置的角色,然后在grid中加入代码:

$grid->actions(function ($actions) {

    // 没有`delete-image`权限的角色不显示删除按钮
    if (!Admin::user()->can('delete-image')) {
        $actions->disableDelete();
    }
});

// 只有具有`view-title-column`权限的用户才能显示`title`这一列
if (Admin::user()->can('view-title-column')) {
    $grid->column('title');
}

相关方法

获取当前用户对象

Admin::user();

获取当前用户id

Admin::user()->id;

获取用户角色

Admin::user()->roles;

获取用户的权限

Admin::user()->permissions;

用户是否有某个角色

Admin::user()->isRole('developer');

是否有某个权限

Admin::user()->can('create-post');

是否没有某个权限

Admin::user()->cannot('delete-post');

是否是超级管理员

Admin::user()->isAdministrator();

是否是其中的角色

Admin::user()->inRoles(['editor', 'developer']);

权限中间件

可以在路由配置上结合权限中间件来控制路由的权限


// 允许administrator、editor两个角色访问group里面的路由
Route::group([
    'middleware' => 'admin.permission:allow,administrator,editor',
], function ($router) {

    $router->resource('users', UserController::class);
    ...

});

// 禁止developer、operator两个角色访问group里面的路由
Route::group([
    'middleware' => 'admin.permission:deny,developer,operator',
], function ($router) {

    $router->resource('users', UserController::class);
    ...

});

// 有edit-post、create-post、delete-post三个权限的用户可以访问group里面的路由
Route::group([
    'middleware' => 'admin.permission:check,edit-post,create-post,delete-post',
], function ($router) {

    $router->resource('posts', PostController::class);
    ...

});

权限中间件和其它中间件使用方法一致。

为何配置了角色和权限,依然提示无权访问?

这个原因可能是由于权限的URL路径配置错误导致的,正确的包含增删改查功能的URL配置应该是auth/users*这样的,如果你配置成了auth/users/*,那么就会提示无权访问。

另外标签表单填写自定义URL有两种方法:一种是选中后按删除键进行更改;另一种是填写后按空格键 + 回车键

本文章首发在 LearnKu.com 网站上。

上一篇 下一篇
《L01 基础入门》
我们将带你从零开发一个项目并部署到线上,本课程教授 Web 开发中专业、实用的技能,如 Git 工作流、Laravel Mix 前端工作流等。
《L05 电商实战》
从零开发一个电商项目,功能包括电商后台、商品 & SKU 管理、购物车、订单管理、支付宝支付、微信支付、订单退款流程、优惠券等
讨论数量: 10
发起讨论 只看当前版本


luxiaofeng
dcat admin 详情页如何做成选项卡的展示
4 个点赞 | 15 个回复 | 问答 | 课程版本 2.x
halweg
在form A的編輯页,提交后如和新增一条B的记录?
0 个点赞 | 7 个回复 | 问答 | 课程版本 2.x
luxiaofeng
dcat admin 表格怎么根据当前行数据的值隐藏或显示某个按钮
0 个点赞 | 4 个回复 | 问答 | 课程版本 2.x
蒙挚
Dcat Admin 新建和编辑怎么使用不同的页面和处理逻辑
0 个点赞 | 4 个回复 | 问答 | 课程版本 2.x
maxsky
为什么开发工具菜单在非 admin 用户下也能看见呢?
0 个点赞 | 1 个回复 | 问答 | 课程版本 2.x
Mutoulee
Dcat Admin 模型树depth字段疑问
0 个点赞 | 1 个回复 | 问答 | 课程版本 2.x
lezhl821125
Dcat2版本的代码生成器 在laravel 9的版本报错
0 个点赞 | 1 个回复 | 问答 | 课程版本 2.x
zhuameng
如果 MySQL 8 运行脚本出错,可以试试下面这个:
0 个点赞 | 0 个回复 | 分享 | 课程版本 2.x
esssd
小程序心跳
0 个点赞 | 0 个回复 | 代码速记 | 课程版本 2.x