如何在 Laravel 中使用自定义中间件检查用户权限

问题描述 投票:0回答:4

我正在开发 Laravel ACL 系统。我的基表是

users,roles,permissions
,数据透视表是
role_user,role_permission,user_permission

我想使用我的自定义中间件检查用户权限

HasPermission
。我已经尝试过这种方式,但它无法正常工作。每个用户都可以访问所有有或没有的权限。

现在,我该如何解决这个问题。请看我的代码示例。

我的控制器。

function __construct()
{
    $this->middleware('auth');
    $this->middleware('HasPermission:Role_Read|Role_Update|Role_Delete');
}

我的中间件。

class HasPermission
{

public function handle($request, Closure $next,$permissions)
{

    $permissions_array = explode('|', $permissions);
    // $user = $this->auth->user();
    foreach($permissions_array as $permission){
        if(!$request->user()->hasPermission($permission)){
            return $next($request);
        }
    }

    return redirect()->back();

 }
}

还有,我的

User
模型方法。

public function user_permissions()
{
    return $this->belongsToMany(Permission::class,'user_permission');
}

public function hasPermission(string $permission)
{
    if($this->user_permissions()->where('name', $permission)->first())
    {
        return true;
    }
    else
    {
        return false;
    }

}
php laravel laravel-middleware
4个回答
0
投票

最好的方法是您需要引入一个新的服务提供商,并且您可以检查授权和权限。

我为数据库驱动权限做了一个测试项目(去年),我使用了服务提供商。

这是实施的完美方式。

0
投票

基本上 

!$request->user()->hasPermission($permission)
是说如果与请求关联的用户没有中间件通过的此权限,但这不是您想要的。这是你应该做的:

如果您需要用户拥有一个您需要做的规定的权限:

class HasPermission
{

    public function handle($request, Closure $next,$permissions)
    {

        $permissions_array = explode('|', $permissions);
        foreach($permissions_array as $permission){
            if ($request->user()->hasPermission($permission)){
                return $next($request);
            }
        }    
       return redirect()->back();    
    }
}

如果您希望用户拥有 all 声明的权限,您需要执行以下操作:

class HasPermission
{

    public function handle($request, Closure $next,$permissions)
    {

        $permissions_array = explode('|', $permissions);
        foreach($permissions_array as $permission){
            if (!$request->user()->hasPermission($permission)){
                return redirect()->back();                        
            }
        }    
        return $next($request);
    }
}

作为补充说明,如果您想以更优雅的方式执行此操作,您可以这样做:

class HasPermission
{

    public function handle($request, Closure $next, ...$permissions_array)
    {    
       //Function body from above without the explode part
    }
}


function __construct()
{
   $this->middleware('auth');
   $this->middleware('HasPermission:Role_Read,Role_Update,Role_Delete');
}

如果您使用逗号,那么框架将为您将字符串拆分为参数。

0
投票

在我的例子中,我只是添加了简单的函数来从数据库中获取权限,然后检查它中间件。检查此代码:

// 添加新函数以从数据库获取权限 

public static function user_permissions($user) {

$permissions=DB::table('permissions')->where('user_id', $user)->first();
return $permissions; 

}

// 在中间件中检查您的权限

   if(Auth::guest())
    {
        return redirect('/');
    }

elseif(Functions::user_permissions(Auth::user()->id)->user_managment != 1) {

 return redirect('/');

} else {
    return $next($request);
}
0
投票

在 web.php/api.php 中:

Route::middleware('hasPermission')->group(function() { // for all routes
    Route::get('/article', [ArticleController::class, 'index'])->name('article.index');
});

在中间件中:

class HasPermission
{

    public function handle($request, Closure $next)
    {
        $routeName = Request::route()->getName();
        $permission = $user->permissions()->where('route_name', $routeName)->first();
        if ( ! empty($permission)){
            return redirect()->back();                        
        }
        return $next($request);
    }
}
最新问题
© www.soinside.com 2019 - 2024. All rights reserved.