Laravel-ACL 路由保护

使用中间件保护路由

ACL 确定控制器是否有资源方法 (index, create, store, 等) ,或者是 RESTful。
如果方法名不是资源(即非 index, create, store),则会检查 RESTful (HTTP 方法 GET, POST, PUT, DELETE)。

如果你的项目中这些都不可用,则必须定义包含方法的数组类型的 protect_methods 参数,这些方法是需要在 crud 中被保护的。

例如,用户查看内容时是一个 GET 请求,所以 ACL 会检查它是否是资源方法,如果不是则检查 restful 并得知它是 GET 方法,则 view 被保护,因此用户必须要有 view.user 权限。

如果你传入 protect_methods,可以通过定义你自己的方法名来保护资源。

 [
   'create' => ['store'],    // protects store() method on create.user (create.alias)
   'view'   => ['index', 'create', 'show', 'edit'],     // protects index(), create(), show(), edit() methods on view.user permission.
   'update' => ['update'],
   'delete' => ['destroy']
]

参数定义

  • 验证用户是否拥有角色, ['is' => 'administrator']
  • 验证用户是否拥有权限, ['can' => 'view.admin, update.user']
  • 保护控制器方法, ['protect_alias' => 'user'],会使用权限的别名 user 并基于这个别名的权限保护 crud 方法。

举个栗子,如果用户有查看的权限但没有更新的权限,则允许 HTTP GET 方法但不允许 PUT。
如果你需要保护自己的控制器方法,你可以将它们定义为一个数组。

['protect_alias'  => 'user', 
 'protect_methods' => [
          'create' => ['someMethod', 'anotherMethod'],
          'read'   => ['readMethod', 'showMethod'],
          'view'   => ['readMethod', 'showMethod'], // its same as read.
          'update' => ['editMethod'],
          'delete' => ['destroyMethod']
]];

保护路由组/资源

要保护路由很容易。下面的例子检查用户是否有 administrator 角色。

Route::group(['prefix' => 'user', 
              'middleware' => ['auth', 'acl'],
              'is' => 'administrator'], 
function () {
    Route::resource('user', 'UsersController');
});

或者检查用户是否有 administrator 角色并有 create.user, delete.user 的权限。

Route::group(['prefix' => 'user', 
              'middleware' => ['auth', 'acl'],
              'is' => 'administrator',
              'can' => 'create.user, delete.user'], 
function () {
    Route::resource('user', 'UsersController');
});

或者通过 user 权限别名保护 crud 方法。

Route::group(['prefix' => 'user', 
              'middleware' => ['auth', 'acl'],
              'is' => 'administrator',
              'can' => 'do.something',
              'protect_alias' => 'user'], 
function () {
    Route::resource('user', 'UsersController');
});

保护路由

保护一个单独的路由和保护路由组的设置一样简单。只需要使用相同的权限参数。

Route::get('/dashboard', [
    'uses'        => 'DashboardController@index',
    'middleware'   => ['auth', 'acl'],
    'is'           => 'administrator',
    'can'          => 'view.dashboard']);

或者通过 dashboard 权限别名保护 crud 方法。

Route::get('/dashboard', [
    'uses'          => 'DashboardController@index',
    'middleware'    => ['auth', 'acl'],
    'is'            => 'administrator',
    'protect_alias' => 'dashboard']);
最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

推荐阅读更多精彩内容

  • Spring Cloud
    Spring Cloud为开发人员提供了快速构建分布式系统中一些常见模式的工具(例如配置管理,服务发现,断路器,智...
    卡卡罗2017阅读 135,739评论 19 139
  • Android - 收藏集
    Android 自定义View的各种姿势1 Activity的显示之ViewRootImpl详解 Activity...
    passiontim阅读 175,791评论 25 709
  • 网络操作系统复习资料
    1、第八章 Samba服务器2、第八章 NFS服务器3、第十章 Linux下DNS服务器配站点,域名解析概念命令:...
    哈熝少主阅读 9,166评论 0 10
  • 断舍离-最糟的,也是最棒的
    一、缺陷的美好 在最棒的一面之外,也有最糟的一面,在两个方面取得良好的平衡才是最正确的,每个人都有虚伪软弱,不愿让...
    齐文系统排列阅读 2,682评论 0 0
  • 不能用力过猛
    人生不要用力过猛 一只猎狗在追一只受伤的兔子,可却没有追上。主人骂猎狗太没用,猎狗说,我在尽力而为。兔子逃命后,对...
    yysws阅读 3,138评论 0 0