我正在开发 Laravel ACL 系统。我的基表是
users,roles,permissions
,数据透视表是role_user,role_permission,user_permission
。
我想使用我的自定义中间件检查用户权限
HasPermission
。我已经尝试过这种方式,但它无法正常工作。每个用户都可以访问所有有或没有的权限。
现在,我该如何解决这个问题。请看我的代码示例。
我的控制器。
function __construct()
{
$this->middleware('auth');
$this->middleware('HasPermission:Role_Read|Role_Update|Role_Delete');
}
我的中间件。
class HasPermission
{
public function handle($request, Closure $next,$permissions)
{
$permissions_array = explode('|', $permissions);
// $user = $this->auth->user();
foreach($permissions_array as $permission){
if(!$request->user()->hasPermission($permission)){
return $next($request);
}
}
return redirect()->back();
}
}
还有,我的
User
模型方法。
public function user_permissions()
{
return $this->belongsToMany(Permission::class,'user_permission');
}
public function hasPermission(string $permission)
{
if($this->user_permissions()->where('name', $permission)->first())
{
return true;
}
else
{
return false;
}
}
最好的方法是您需要引入一个新的服务提供商,并且您可以检查授权和权限。
我为数据库驱动权限做了一个测试项目(去年),我使用了服务提供商。
这是实施的完美方式。
基本上
!$request->user()->hasPermission($permission)
是说如果与请求关联的用户没有中间件通过的此权限,但这不是您想要的。这是你应该做的:
如果您需要用户拥有一个您需要做的规定的权限:
class HasPermission
{
public function handle($request, Closure $next,$permissions)
{
$permissions_array = explode('|', $permissions);
foreach($permissions_array as $permission){
if ($request->user()->hasPermission($permission)){
return $next($request);
}
}
return redirect()->back();
}
}
如果您希望用户拥有 all 声明的权限,您需要执行以下操作:
class HasPermission
{
public function handle($request, Closure $next,$permissions)
{
$permissions_array = explode('|', $permissions);
foreach($permissions_array as $permission){
if (!$request->user()->hasPermission($permission)){
return redirect()->back();
}
}
return $next($request);
}
}
作为补充说明,如果您想以更优雅的方式执行此操作,您可以这样做:
class HasPermission
{
public function handle($request, Closure $next, ...$permissions_array)
{
//Function body from above without the explode part
}
}
和
function __construct()
{
$this->middleware('auth');
$this->middleware('HasPermission:Role_Read,Role_Update,Role_Delete');
}
如果您使用逗号,那么框架将为您将字符串拆分为参数。
在我的例子中,我只是添加了简单的函数来从数据库中获取权限,然后检查它中间件。检查此代码:
// 添加新函数以从数据库获取权限
public static function user_permissions($user) {
$permissions=DB::table('permissions')->where('user_id', $user)->first();
return $permissions;
}
// 在中间件中检查您的权限
if(Auth::guest())
{
return redirect('/');
}
elseif(Functions::user_permissions(Auth::user()->id)->user_managment != 1) {
return redirect('/');
} else {
return $next($request);
}
在 web.php/api.php 中:
Route::middleware('hasPermission')->group(function() { // for all routes
Route::get('/article', [ArticleController::class, 'index'])->name('article.index');
});
在中间件中:
class HasPermission
{
public function handle($request, Closure $next)
{
$routeName = Request::route()->getName();
$permission = $user->permissions()->where('route_name', $routeName)->first();
if ( ! empty($permission)){
return redirect()->back();
}
return $next($request);
}
}