我有一个检查用户是否有权限的函数,它返回布尔值。
问题是
我如何检入每个功能用户是否具有权限。 例如,在用户控制器中,我有2个功能:
index():
public function index () {
if(Auth::user() -> hasPermissionTo('show all users')) {
// continue for API
} else {
// response with error for API
}
}
我知道有一种更好的方法,因为我不想在所有函数中重复此if语句。
我尝试做的事情:
我尝试创建一个帮助程序功能,该功能检查用户是否具有权限,如果用户没有权限,则返回响应错误。 并在每个函数中都调用它,但是没有用。
助手功能代码:
if(!function_exists('userHasPermission')) {
function userHasPermission ($permission) {
$main_permission = 'do everything';
if (!Auth::user() -> hasPermissionTo($main_permission) || !Auth::user() -> hasPermissionTo($permission)) {
$res = trans('api_responses.authorization_failed');
return Response::json([
'message' => $res['message'],
'code' => $res['code']
], $res['code']);
}
}
}
索引函数调用
public function index()
{
// PERMISSIONS CHECK
userHasPermission('users show active');
$getUsers = $this -> users -> getAllActive();
return Response::json($getUsers);
}
但是,即使用户没有权限,甚至在我的帮助器中输入了if语句,它也不会返回错误响应!
答案 0 :(得分:1)
您的帮助器函数返回一个新的响应,但它不以HTTP响应的形式返回给控制器,因此您可以像这样获得返回的值:
public function index()
{
// PERMISSIONS CHECK
$response = userHasPermission('users show active');
$getUsers = $this -> users -> getAllActive();
return Response::json($getUsers);
}
所以您需要检查响应是否具有值 但是使用这种方法,您将遇到与第一个相同的问题。
要解决此问题,请执行以下操作:从辅助函数中引发异常,而不是返回一些响应。
一个更好的解决方案是使用FormRequest,选中此link,确保选中“授权表单请求”部分,其中指明了授权功能。
编辑:
您需要执行的操作如下:
创建一个新类,我们将其命名为“ FormRequest”类的“ IndexRequest”,然后实现authorize方法。
是这样的:
class IndexRequest extends FormRequest
{
/**
* Determine if the user is authorized to make this request.
*
* @return bool
*/
public function authorize()
{
return Auth::user() -> hasPermissionTo('show all users');
}
/**
* Get the validation rules that apply to the request.
*
* @return array
*/
public function rules()
{
return [
];
}
}
然后使用您的方法:
public function index(IndexRequest $request)
{
$getUsers = $this -> users -> getAllActive();
return Response::json($getUsers);
}
您无需手动检查它,Laravel将使用IndexRequest类的“授权”功能为您完成检查。
答案 1 :(得分:1)
使用Laravel,您可以为此使用门。
在您的App \ Providers \ AuthServiceProvider文件中,执行以下操作:
public function boot()
{
$this->registerPolicies();
Gate::define('do-everything', function ($user) {
return $user->hasPermission('do-everything');
});
Gate::define('do-one-thing', function ($user) {
return $user->hasPermission('do-one-thing');
});
}
然后在您的控制器中:
if (Auth::user()->can('do-everything')) {
// the user can do everything
}
if (Auth::user()->can('do-one-thing')) {
// the user can just do one thing
}
或
if (!Auth::user()->can('do-everything')) {
abort(403);
}
// user has permission to the everything from here on
或在您的route / web.php中,您可以执行以下操作:
Route::get('/things', 'ThingController@action')->middleware(['can:do-one-thing']);
或者您可以将路由分组如下:
Route::middleware(['can:do-everything'])->group(function () {
Route::get('/things', 'ThingController@index');
Route::get('/other-things', 'OtherThingController@index');
...
}
您也可以查看https://laravel.com/docs/5.7/authorization以获得更多建议。
答案 2 :(得分:0)
通过这种方式检查多个权限以决定是否
@php
$patients_menu_item=0;
$users_menu_item=0;
$roles_menu_item=0;
if(Auth::user() -> hasPermissionTo('Patient Add')||Auth::user() -> hasPermissionTo('Patients List')) {
$patients_menu_item=1;
}
if(Auth::user() -> hasPermissionTo('User Add')||Auth::user() -> hasPermissionTo('Users List')) {
$users_menu_item=1;
}
if(Auth::user() -> hasPermissionTo('Role Add')||Auth::user() -> hasPermissionTo('Roles List')) {
$roles_menu_item=1;
}
@endphp
@if($patients_menu_item == 1)
<li class="has-sub">
<a>
<i class="ft-users"></i><span class="menu-title">Patients</span>
</a>
<ul class="menu-content">
@can('Patient Add')
<li>
<a href="{{url('patients/register')}}"
class="menu-item">Register Patient</a>
</li>
@endcan
@can('Patients List')
<li>
<a href="{{url('patients/index')}}"
class="menu-item">{{ trans('website.Show Patients') }}</a>
</li>
@endcan
</ul>
</li>
@endif