使用 Entrust 扩展包在 Laravel 5 中实现 RBAC 权限管理(二):使用篇

上一篇教程中我们讨论了如何安装配置Entrust,这一篇我们来详细讨论其使用方法。

1、创建角色/权限并进行分配

首先我们来创建RolePermission

$owner = new Role();
$owner->name = 'owner';
$owner->display_name = 'Project Owner';
$owner->description = 'User is the owner of a given project';
$owner->save();

$admin = new Role();
$admin->name = 'admin';
$admin->display_name = 'User Administrator';
$admin->description = 'User is allowed to manage and edit other users';
$admin->save();

接下来我们将创建的两个roles分配给用户

$user = User::where('username', '=', 'michele')->first();

//调用EntrustUserTrait提供的attachRole方法
$user->attachRole($admin); // 参数可以是Role对象,数组或id

// 或者也可以使用Eloquent原生的方法
$user->roles()->attach($admin->id); //只需传递id即可

现在我们还需要添加相应权限到这些角色上:

$createPost = new Permission();
$createPost->name = 'create-post';
$createPost->display_name = 'Create Posts';
$createPost->description = 'create new blog posts';
$createPost->save();

$editUser = new Permission();
$editUser->name = 'edit-user';
$editUser->display_name = 'Edit Users';
$editUser->description = 'edit existing users';
$editUser->save();

$owner->attachPermission($createPost);
//等价于 $owner->perms()->sync(array($createPost->id));

$admin->attachPermissions(array($createPost, $editUser));
//等价于 $admin->perms()->sync(array($createPost->id, $editUser->id));

2、检查角色&权限

完成上述操作后,下面我们可以检查相应角色和权限:

$user->hasRole('owner'); // false
$user->hasRole('admin'); // true
$user->can('edit-user'); // true
$user->can('create-post'); // true

hasRole()can都可以接收数组形式的角色和权限进行检查:

$user->hasRole(['owner', 'admin']); // true
$user->can(['edit-user', 'create-post']); // true

默认情况下,如果用户拥有以上任意一个角色或权限都会返回true,如果你想检查用户是否拥有所有角色及权限,可以传递true作为第二个参数到相应方法:

$user->hasRole(['owner', 'admin']); // true
$user->hasRole(['owner', 'admin'], true); // false
$user->can(['edit-user', 'create-post']); // true
$user->can(['edit-user', 'create-post'], true); // false

用户可以拥有多个角色。

除此之外,还可以通过Entrust门面检查当前登录用户是否拥有指定角色和权限:

Entrust::hasRole('role-name');
Entrust::can('permission-name');

甚至还可以通过通配符的方式来检查用户权限:

// match any admin permission
$user->can("admin.*"); // true

// match any permission about users
$user->can("*_users"); // true

3、ability方法

还可以通过使用ability方法来实现更加高级的检查,这需要三个参数(角色、权限、选项),同样角色和权限既可以是字符串也可以是数组:

$user->ability(array('admin', 'owner'), array('create-post', 'edit-user'));
// 或者
$user->ability('admin,owner', 'create-post,edit-user');

这将会检查用户是否拥有任意提供的角色和权限,在本例中会返回true,因为用户的角色是admin并且拥有create-post权限。

第三个参数是一个可选数组:

$options = array(
    'validate_all' => true | false (Default: false),
    'return_type' => boolean | array | both (Default: boolean)
);

其中validate_all是一个布尔值,用于设置是否检查所有值;return_type用于指定返回布尔值、检查值数组还是两者都有。

下面是一个输出示例:

$options = array(
    'validate_all' => true,
    'return_type' => 'both'
);

list($validate, $allValidations) = $user->ability(
    array('admin', 'owner'),
    array('create-post', 'edit-user'),
    $options
);

var_dump($validate);
// bool(false)

var_dump($allValidations);
// array(4) {
//     ['role'] => bool(true)
//     ['role_2'] => bool(false)
//     ['create-post'] => bool(true)
//     ['edit-user'] => bool(false)
// }

同样,Entrust门面也为当前登录用户提供了ability方法:

Entrust::ability('admin,owner', 'create-post,edit-user');
// 等价于
Auth::user()->ability('admin,owner', 'create-post,edit-user');

4、Blade模板

在Blade模板中也可以使用上述三个方法对应的指令:

@role('admin')
    <p>This is visible to users with the admin role. Gets translated to
    \Entrust::role('admin')</p>
@endrole

@permission('manage-admins')
    <p>This is visible to users with the given permissions. Gets translated to
    \Entrust::can('manage-admins'). The @can directive is already taken by core
    laravel authorization package, hence the @permission directive instead.</p>
@endpermission

@ability('admin,owner', 'create-post,edit-user')
    <p>This is visible to users with the given abilities. Gets translated to
    \Entrust::ability('admin,owner', 'create-post,edit-user')</p>
@endability

5、中间件

你可以在中间件中通过角色或权限来过滤路由以及路由群组:

Route::group(['prefix' => 'admin', 'middleware' => ['role:admin']], function() {
    Route::get('/', 'AdminController@welcome');
    Route::get('/manage', [
        'middleware' => ['permission:manage-admins'], 
        'uses' => 'AdminController@manageAdmins'
    ]);
});

支持OR/AND逻辑:

'middleware' => ['role:admin|root']
'middleware' => ['permission:owner', 'permission:writer']

同样可以使用ability中间件:

'middleware' => ['ability:admin|owner,create-post|edit-user,true']

6、路由过滤器的快捷实现

通过权限和角色过滤路由你还可以在app/Http/routes.php调用如下代码:

// 只有拥有'create-post'权限对应角色的用户才能访问admin/post*
Entrust::routeNeedsPermission('admin/post*', 'create-post');

// 只有所有者才能访问admin/advanced*
Entrust::routeNeedsRole('admin/advanced*', 'owner');

// 第二个参数可以是数组,这样用户必须满足所有条件才能访问对应路由
Entrust::routeNeedsPermission('admin/post*', array('create-post', 'edit-comment'));
Entrust::routeNeedsRole('admin/advanced*', array('owner','writer'));

以上方法都可以接受第三个参数,如果第三个参数为空那么禁止访问默认调用App::abort(403),否则会返回第三个参数,所以我们可以这么做:

Entrust::routeNeedsRole('admin/advanced*', 'owner', Redirect::to('/home'));

甚至还可以接受第四个参数,该参数默认为true,意味着将会检查提供的所有角色和权限,如果你将其设置为false,则该方法只有在所有角色/权限都不满足才会返回失败:

// 如果用户拥有'create-post'、'edit-comment'其中之一或者两个权限都具备则可以访问
Entrust::routeNeedsPermission('admin/post*', array('create-post', 'edit-comment'), null, false);

// 如果用户是所有者、作者或者都具备则可以访问
Entrust::routeNeedsRole('admin/advanced*', array('owner','writer'), null, false);

Entrust::routeNeedsRoleOrPermission(
    'admin/advanced*',
    array('owner', 'writer'),
    array('create-post', 'edit-comment'),
    null,
    false
);

7、路由过滤器

Entrust角色/权限可通过调用Entrust门面上的canhasRole方法应用在过滤器中:

Route::filter('manage_posts', function()
{
    // check the current user
    if (!Entrust::can('create-post')) {
        return Redirect::to('admin');
    }
});

// 只有用户对应角色拥有 'manage_posts' 权限才能访问任意 admin/post 路由
Route::when('admin/post*', 'manage_posts');

使用过滤器来检查角色:

Route::filter('owner_role', function()
{
    // check the current user
    if (!Entrust::hasRole('Owner')) {
        App::abort(403);
    }
});

// 只有所有者才能访问 admin/advanced* 路由
Route::when('admin/advanced*', 'owner_role');

正如你所看到的,Entrust::hasRoleEntrust::can方法检查用户是否登录、然后才去判断他们是否有用指定角色或权限,如果用户没有登录则直接返回false

如果想要查看在Laravel 5.2中基于Entrust实现后台权限管理的实例可参考Ryan的这个Github项目:https://github.com/yuansir/laravel5-rbac-example

学院君 has written 716 articles

资深PHP工程师,Laravel学院院长

47 thoughts on “使用 Entrust 扩展包在 Laravel 5 中实现 RBAC 权限管理(二):使用篇

  1. steven says:

    FatalThrowableError in EntrustServiceProvider.php line 64:
    Call to undefined method Zizaco\Entrust\EntrustServiceProvider::hasRole()

    blade里面使用@role(‘admin’)报错..

  2. ckizey says:

    学院君,在使用的时候,我new出来的User可以使用entrust提供的方法,当我获取一个已登录的user来使用entrust提供的方法时,报错方法不存在:UserModel 的声明:namespace AppHttpModelsAdmin;use IlluminateDatabaseEloquentModel;use ZizacoEntrustTraitsEntrustUserTrait;class UserModel extends Model{ use EntrustUserTrait; protected $table = ‘admin_users’;}使用:$action = $request->path(); $user = UserModel::where(‘id’,’=’,session()->get(‘uid’))->first(); // 该user实例不能调用方法 can() $user = new UserModel(); // 该实例可以调用方法 can() if(!$user->can($action)){ dd(‘dd’); }

    1. ckizey says:

      我在中间件和控制器里遇到的问题一样,当我 new 模型的时候,entrust 提供的方法能用,而从数据库里获取的模型实例就不能使用,提示说该方法不存在,请问这其中的突破点在哪里呢?

  3. 韩党宁 says:

    $owner->attachPermissions(array($createPost, $editUser));这样写是有问题的 EntrustRoleTrait类的attachPermission()方法只能传一维数组public function attachPermission($permission) { if (is_object($permission)) { $permission = $permission->getKey(); } if (is_array($permission)) { $permission = $permission[‘id’]; } $this->perms()->attach($permission); }

  4. ゛砂糖唯美。 says:

    学院君,请教个问题github:https://github.com/yuansir/laravel5-rbac-example 刚开始执行 php artisan db:seed 会报这个错误怎么回事。oot@ubuntu:/var/www/html/laradmin# php artisan db:seedPHP Warning: require(/var/www/html/laradmin/bootstrap/../vendor/autoload.php): failed to open stream: No such file or directory in /var/www/html/laradmin/bootstrap/autoload.php on line 17PHP Fatal error: require(): Failed opening required ‘/var/www/html/laradmin/bootstrap/../vendor/autoload.php’ (include_path=’.:/usr/share/php’) in /var/www/html/laradmin/bootstrap/autoload.php on line 17

      1. fifi says:

        你好,我也是这个错误,这样是可以正常使用了,但是正常的缓存 缓存不知道为啥不能用了。比如我做的短信验证。发送短信时Cache::put(‘key’, $code),缓存验证码,但是验证时Cache::get(‘key’)获取不到数据。知道是什么原因吗

发表评论

标记为*的字段是必填项(邮箱地址不会被公开)

你可以使用这些HTML 标签和属性: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>