laravel框架創(chuàng)建授權(quán)策略實例分析

本文實例講述了laravel框架創(chuàng)建授權(quán)策略。分享給大家供大家參考，具體如下：

用戶只能編輯自己的資料

在完成對未登錄用戶的限制之后，接下來我們要限制的是已登錄用戶的操作，當(dāng) id 為 1 的用戶去嘗試更新 id 為 2 的用戶信息時，我們應(yīng)該返回一個 403 禁止訪問的異常。在 Laravel 中可以使用 授權(quán)策略 (Policy) 來對用戶的操作權(quán)限進(jìn)行驗證，在用戶未經(jīng)授權(quán)進(jìn)行操作時將返回 403 禁止訪問的異常。

1. 創(chuàng)建授權(quán)策略

我們可以使用以下命令來生成一個名為 UserPolicy 的授權(quán)策略類文件，用于管理用戶模型的授權(quán)。

php artisan make:policy UserPolicy

所有生成的授權(quán)策略文件都會被放置在 app/Policies 文件夾下。

讓我們?yōu)槟J(rèn)生成的用戶授權(quán)策略添加 update 方法，用于用戶更新時的權(quán)限驗證。

app/Policies/UserPolicy.php

update 方法接收兩個參數(shù)，第一個參數(shù)默認(rèn)為當(dāng)前登錄用戶實例，第二個參數(shù)則為要進(jìn)行授權(quán)的用戶實例。當(dāng)兩個 id 相同時，則代表兩個用戶是相同用戶，用戶通過授權(quán)，可以接著進(jìn)行下一個操作。如果 id 不相同的話，將拋出 403 異常信息來拒絕訪問。

使用授權(quán)策略需要注意以下兩點：

1. 我們并不需要檢查 $currentUser 是不是 NULL。未登錄用戶，框架會自動為其 所有權(quán)限 返回 false；
2. 調(diào)用時，默認(rèn)情況下，我們 不需要 傳遞當(dāng)前登錄用戶至該方法內(nèi)，因為框架會自動加載當(dāng)前登錄用戶（接著看下去，后面有例子）。

2. 注冊授權(quán)策略

Laravel 提供兩種注冊授權(quán)策略的方式，第一種是手動指定，第二種是 Laravel 5.8 新增功能 —— 自動授權(quán)注冊。為了方便起見，我們會使用第二種。

自動授權(quán)默認(rèn)會假設(shè) Model 模型文件直接存放在 app 目錄下，鑒于我們已將模型存放目錄修改為 app/Models，接下來還需自定義自動授權(quán)注冊的規(guī)則，修改 boot() 方法：

app/Providers/AuthServiceProvider.php

授權(quán)策略定義完成之后，我們便可以通過在用戶控制器中使用 authorize 方法來驗證用戶授權(quán)策略。默認(rèn)的 App\Http\Controllers\Controller 類包含了 Laravel 的 AuthorizesRequests trait。此 trait 提供了 authorize 方法，它可以被用于快速授權(quán)一個指定的行為，當(dāng)無權(quán)限運行該行為時會拋出 HttpException。authorize 方法接收兩個參數(shù)，第一個為授權(quán)策略的名稱，第二個為進(jìn)行授權(quán)驗證的數(shù)據(jù)。

我們需要為 edit 和 update 方法加上這行：

這里 update 是指授權(quán)類里的 update 授權(quán)方法，$user 對應(yīng)傳參 update 授權(quán)方法的第二個參數(shù)。正如上面定義 update 授權(quán)方法時候提起的，調(diào)用時，默認(rèn)情況下，我們 不需要 傳遞第一個參數(shù)，也就是當(dāng)前登錄用戶至該方法內(nèi)，因為框架會自動加載當(dāng)前登錄用戶。

書寫的位置如下：

app/Http/Controllers/UsersController.php

更多關(guān)于Laravel相關(guān)內(nèi)容感興趣的讀者可查看本站專題：《Laravel框架入門與進(jìn)階教程》、《php優(yōu)秀開發(fā)框架總結(jié)》、《php面向?qū)ο蟪绦蛟O(shè)計入門教程》、《php+mysql數(shù)據(jù)庫操作入門教程》及《php常見數(shù)據(jù)庫操作技巧匯總》

希望本文所述對大家基于Laravel框架的PHP程序設(shè)計有所幫助。