laravel Gates(攔截器)允許你授權用戶訪問應用程序的某些區域。你可以輕松地在應用程序中定義攔截器,然后使用它們來允許或拒絕訪問。
簡單示例
假設在用戶表中,有一個名為 admin 的列,根據用戶是否是管理員,它可以是 1 或 0。我們可以通過如下簡單的檢查來輕松保護應用程序的一部分模塊:
Route::get('administration', function(){ if(auth()->check() && auth()->user()->admin){ echo 'Welcome to the admin section'; } else { echo 'You shall not pass'; } });
如果特定用戶的 admin 行設置為 1 ,他們將看到以下輸出。
否則,他們將看到以下內容:
這看上去很棒對吧!我們有一種簡單的方法來允許或拒絕訪問我們應用程序中的特定部分。然而問題是:如果整個應用程序中,有大量的位置要檢查并修改用戶訪問權限怎么辦。我們將不得不全局搜索代碼并在每個地方修改這個邏輯。效率不是很高。
對此,我們可以定義一個 Gate(攔截器)并在整個應用程序中使用它。
定義攔截器
要定義攔截器,可以打開 AppProvidersAuthServiceProvider.php 文件并在我們的 boot() 方法中添加以下內容:
public function boot() { $this->registerPolicies(); Gate::define('access-admin', function ($user) { return $user->admin; }); }
我們可以在整個應用中任何想驗證管理員用戶的地方使用這個攔截器。在下一節中,你將看到我們如何使用這個新的攔截器。
使用攔截器
要使用攔截器,我們可以調用 Gate::allows() 或 Gate::denies() 方法,如下所示:
Route::get('administration', function(){ if (Gate::allows('access-admin')) { echo 'Welcome to the admin section'; } else { echo 'You shall not pass'; } });
請注意: Gate::denies() 方法會對 Gate::allows() 執行反向檢查
攔截器的好處是我們現在可以隨時更改我們的定義,授權邏輯會同步在整個應用程序中更改。
使用攔截器的另一個目的是檢查與數據相關的權限。以博客為例,我們可以授予用戶對他們創建的帖子的編輯權限。
我們可以將數據傳遞給攔截器以檢查用戶是否有權執行某項操作。
像攔截器傳遞數據
假設我們的應用程序有一個 Post 表,其中有一列 user_id,其中包含創建它的用戶的 ID。我們可以定義一個 Gate(攔截器)來確定用戶是否可以像這樣編輯特定的帖子:
Gate::define('edit-post', function ($user, $post) { return $user->id === $post->user_id; });
兩個參數被傳遞給我們的攔截器定義。第一個是 $user 對象,其中包含經過身份驗證的用戶,第二個參數是我們的 $post 對象。
小Tips:如果沒有經過身份驗證的用戶,攔截器將返回 false。
如果經過身份驗證的用戶是原始作者,攔截器將允許訪問;否則將拒絕訪問。
下面是一個快速示例,說明我們如何使用新的 edit-post?攔截器。
Route::get('edit/{id}', function($id){ $post = AppModelPost::find($id); if( Gate::allows('edit-post', $post) ){ echo 'You can edit this post'; } else { echo 'You shall not pass'; } });
上面,我們在示例中使用了 Route Closures,但我們可能希望將此路由映射到控制器。這也將讓我們使用新的 Authorize 函數。
Authorize 授權助手函數
除了效率之外,使用攔截器的另一個原因是輔助函數。
假設我們將路由映射到控制器:
Route::get('edit/{id}', 'PostController@edit');
我們可以使用 authorize() 助手來檢查經過身份驗證的用戶是否有權編輯帖子:
<?php namespace AppHttpControllers; use AppModelsPost; use IlluminateHttpRequest; class PostController extends Controller { public function edit($id){ $post = Post::find($id); $this->authorize('edit-post', $post); } }
如果控制器從 AppHttpControllersController 基類繼承而來,你可以像使用 Gate::allow() 函數一樣使用 authorize() 助手函數。
最后,如果我們想在視圖中檢查授權怎么辦?我們可以使用 @can Blade 函數助手來做到這一點。
在視圖層進行鑒權
假設 Blade 視圖如下:
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-scale=1.0"> <title>{{ $post->title }}</title> </head> <body> <h1>{{ $post->title }}</h1> <p>{!! $post->body !!}</p> </body> </html>
我們可以使用 Blade 助手函數 @can 檢查當前用戶是否被允許編輯這篇文章:
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-scale=1.0"> <title>{{ $post->title }}</title> </head> <body> <h1>{{ $post->title }}</h1> <p>{!! $post->body !!}</p> @can('edit-post', $post) <a href="edit/{{ $post->id }}">Edit Post</a> @endcan </body> </html>
如果經過身份驗證的用戶是該帖子的原始作者,他們將看到一個編輯帖子按鈕。
使用 @can ?助手函數可以使我們的代碼更易于閱讀和管理。你也可以使用 @cannot 作反向操作。
小結
這是在 Laravel 應用程序中使用 Gates(攔截器)的基礎知識。攔截器允許我們輕松授權特定用戶訪問我們的應用程序區域。這也可以稱為訪問控制列表 (ACL),即與對象關聯的權限列表。
但是我們不應該使事情過于復雜……在最簡單的場景中,攔截器 用于允許或拒絕訪問。用戶既可以被允許授權,同時也可以被拒絕授權。
因為本教程是關于讓用戶通過而不是通過……所以有必要用這張來自指環王的甘道夫圖像送你出去(手動狗頭)。
要了解有關 Laravel Gates(攔截器)的更多信息,請務必訪問 Larave 授權相關的文檔。
英文原文地址:https://devdojo.com/tnylea/laravel-gates
譯文地址:https://learnku.com/laravel/t/67585
【相關推薦:laravel視頻教程】
