讨论数量:
用户认证用于保护资源需要登录后才能访问,防止匿名用户访问到需要保护的资源。在认证时,一般通过中间件从当前请求的 Cookie 或 Token 中解析出用户信息(或通过 OAuth 方式获取用户信息),并判断用户是否已禁用、已加入黑名单等。
而用户授权我理解的是,已经通过上一步认证的用户,在操作一些资源时,需要检查是否具有相应的权限。如用户删除一篇不属于自己创建的文章,但自己并不是管理员等。
用户授权一般通过 Policy 来实现,可通过在 ServiceProvider 里为相应的资源(如 Post)注册 Policy,并在 Policy 里添加用户是否可以删除文章的方法(如 CanDelete);然后在 Controller 里,删除文章的时候先调用 $this->authxxx(纯记忆函数签名忘记了) 来验证用户是否具有权限,若无权限,系统会返回一个 403 错误。
推荐文章: