Start
許可權設計是後臺管理很重要的一個功能,所以要好好設計。 PHP 已經有很多這方面的packages了,就不用我們重複造輪子了。當然,如果你願意可以從頭開始~
PS
以前做許可權認證的方式有好幾種,我說說常用的兩種吧!
- 每一個頁面認證當前需要的許可權一次
- 在統一的地方(中介軟體)驗證
先上一下簡單的表結構(只保留重要的資訊)資料庫的模型 ER 圖
(ps:這個設計中,使用者不會直接擁有許可權,只能通過角色繼承許可權。有很多
packages
會提供使用者可以直接擁有許可權功能)
Model
模型關聯關係處理:
- User 模型
<?php
namespace App\Models;
use Illuminate\Notifications\Notifiable;
use Illuminate\Foundation\Auth\User as Authenticatable;
class User extends Authenticatable
{
use Notifiable;
/**
* The attributes that should be hidden for arrays.
*
* @var array
*/
protected $hidden = [
'password', 'remember_token',
];
// 使用者和角色的模型關聯關係
public function roles()
{
return $this->belongsToMany(Role::class);
}
/****************************************
* 封裝一個方法方便使用
* 1. 需要的許可權
* 2. 遍歷當期那使用者擁有的所有角色
* 3. 再通過角色判斷是否有當前需要的許可權
****************************************/
public function hasPermission($permissionName)
{
foreach ($this->roles as $role) {
if ($role->permisssions()->where('name', $permissionName)->exists()) {
return true;;
}
}
return false;
}
}
複製程式碼
- Role 模型
<?php
namespace App\Models;
class Role extends Model
{
// 使用者和角色的模型關聯關係
public function users()
{
return $this->belongsToMany(User::class);
}
// 角色和許可權的模型關聯關係
public function permissions()
{
return $this->belongsToMany(Permission::class);
}
}
複製程式碼
- Permission 模型
<?php
namespace App\Models;
class Permission extends Model
{
// 角色和許可權的模型關聯關係
public function roles()
{
return $this->belongsToMany(Role::class);
}
}
複製程式碼
Database Seed
- 插入一些記錄:
########################################
# users:
+-------+---------+-----------+
| id | name | password |
+-----------------+-----------+
| 1 | gps | 123456 |
+-----------------+-----------+
| 2 | david | 123456 |
+-----------------+-----------+
########################################
# roles:
+-------+---------+
| id | name |
+-----------------+
| 1 | admin |
+-----------------+
########################################
# permissions:
+-------+-----------------+
| id | name |
+-------------------------+
| 1 | create_product |
| 2 | delete_product |
+-------------------------+
########################################
# role_user (使用者 gps 擁有 admin 角色身份)
+---------+---------+
| role_id | user_id |
+---------+---------+
| 1 | 1 |
+------------------+
########################################
# permission_role (角色 admin 擁有建立商品和刪除商品的許可權)
+---------+---------------+
| role_id | permission_id |
+---------+---------------+
| 1 | 1 |
| 1 | 2 |
+-------------------------+
複製程式碼
First
第一種大概介紹一下:
<?php
namespace App\Http\Controllers;
use App\Models\Product;
class ProductsController extends Controller
{
public function store(Request $request)
{
// 判斷當前登入的使用者是否有許可權
if (! $request->user()->hasPermission('create_product')) {
abort(403);
}
// do something
return back()->with('status', '新增商品成功');
}
public function destroy(Product $product)
{
// 判斷當前登入的使用者是否有許可權
if (! $request->user()->hasPermission('delete_product')) {
abort(403);
}
// do something
return back()->with('status', '刪除商品成功');
}
}
複製程式碼
Two
通過上面的程式碼我們可以看到,即使封裝了許可權驗證的程式碼,還是要在不同的方法進行驗證,而且可擴充套件性不高,這時候我們只需要在許可權表加一個欄位,就可以解決問題
1. permissions (加多一個 route 欄位, 如果不在 laravel 中使用,可以加一個 url 欄位匹配)
+-------+------------------+------+-----+---------+----------------+
| Field | Type | Null | Key | Default | Extra |
+-------+------------------+------+-----+---------+----------------+
| id | int(10) unsigned | NO | PRI | NULL | auto_increment |
| name | varchar(191) | NO | | NULL | |
| route | varchar(191) | NO | | NULL | |
+-------+------------------+------+-----+---------+----------------+
2. 這時候插入資料的時候,我們只要做好相關的錄入
+-------+-----------------+------------------+
| id | name | route |
+-------------------------+------------------+
| 1 | create_product | products.store |
| 2 | delete_product | products.destroy |
+-------------------------+------------------+
複製程式碼
新增好資料的時候,我們就不用再控制器裡驗證了,我們只需要新建一箇中介軟體。
<?php
namespace App\Http\Middleware;
use Closure;
use Illuminate\Support\Facades\Route;
use App\Models\Permission;
class PermissionAuth
{
/**
* 把這個中介軟體放入路由組,把需要的驗證的路由
* 放入這個中間組裡
*/
public function handle($request, Closure $next)
{
/****************************************
* 獲取當前路由的別名,如果沒有返回 null
* (不在 laravel 中使用時,可以獲取當前 url)
****************************************/
$route = Route::currentRouteName();
// 判斷許可權表中這條路由是否需要驗證
if ($permission = Permission::where('route', $route)->first()) {
// 當前使用者不擁有這個許可權的名字
if (! auth()->user()->hasPermission($permission->name)) {
return response()->view('errors.403', ['status' => "許可權不足,需要:{$permission->name}許可權"]);
}
}
return $next($request);
}
}
複製程式碼
END
如果是在 laravel 中使用,已經有輪子了,請使用 github.com/spatie/lara…