搜索betalabs / ntrust
基于角色的权限管理,适用于 Laravel 5.3+
Requires
- illuminate/cache: 5.*|^6.0|^7.0|^8.0|^9.0
- illuminate/console: 5.*|^6.0|^7.0|^8.0|^9.0
- illuminate/support: 5.*|^6.0|^7.0|^8.0|^9.0
README
Ntrust 是一个简洁且灵活的方法,用于为 Laravel 5.4 添加基于角色的权限管理。
原始包: https://github.com/Zizaco/entrust
内容
安装
为了安装 Laravel 5 Ntrust,只需将以下内容添加到您的 composer.json 中。
"klaravel/ntrust": "1.1.*"
然后运行 composer install 或 composer update。
或者您也可以在终端中运行 composer require 命令
composer require klaravel/ntrust
然后在您的 config/app.php 中添加
Klaravel\Ntrust\NtrustServiceProvider::class,
到 providers 数组,并
'Ntrust' => Klaravel\Ntrust\NtrustFacade::class,
到 aliases 数组。
如果您打算使用 中间件(需要 Laravel 5.1 或更高版本),您还需要将
'role' => \Klaravel\Ntrust\Middleware\NtrustRole::class, 'permission' => \Klaravel\Ntrust\Middleware\NtrustPermission::class, 'ability' => \Klaravel\Ntrust\Middleware\NtrustAbility::class,
添加到 app/Http/Kernel.php 中的 routeMiddleware 数组。
配置
只需使用 php artisan vendor:publish,您的应用配置目录中就会创建一个 ntrust.php 文件。
查看该文件以获取更多细节,例如如何添加多个用户。默认情况下,我们添加了两个用户示例,如普通的 user 和 admin。
用户与角色的关联
现在生成 Ntrust 迁移
php artisan ntrust:migration {name}
配置 {name} 配置文件 config/ntrust.php 中 profiles 部分的配置文件名。
它将生成 <timestamp>_<user>_ntrust_setup_tables.php 迁移。您现在可以使用 artisan migrate 命令运行它
php artisan migrate
迁移后,将出现以下四个新表,或者您在 config/ntrust.php 配置文件中输入的任何表名。
roles— 存储角色记录permissions— 存储权限记录role_user— 存储角色与用户之间的多对多关系permission_role— 存储角色与权限之间的多对多关系
模型
角色
在 app/Role.php 中创建一个 Role 模型,使用以下示例
<?php namespace App; use Illuminate\Database\Eloquent\Model; use Klaravel\Ntrust\Traits\NtrustRoleTrait; class Role extends Model { use NtrustRoleTrait; /* * Role profile to get value from ntrust config file. */ protected static $roleProfile = 'user'; }
Role 模型有三个主要属性
name— 角色的唯一名称,用于在应用程序层中查找角色信息。例如:“admin”、“owner”、“employee”。display_name— 角色的可读名称。不一定是唯一的,是可选的。例如:“用户管理员”、“项目所有者”、“Widget Co. 员工”。description— 角色更详细的说明。也是可选的。
display_name 和 description 都是可选的;它们的字段在数据库中是可空的。
权限
在 app/Permission.php 中创建一个 Permission 模型,使用以下示例
<?php namespace App; use Illuminate\Database\Eloquent\Model; use Klaravel\Ntrust\Traits\NtrustPermissionTrait; class Permission extends Model { use NtrustPermissionTrait; /* * Role profile to get value from ntrust config file. */ protected static $roleProfile = 'user'; }
Permission 模型与 Role 模型具有相同的三个属性
name— 权限的唯一名称,用于在应用程序层中查找权限信息。例如:“创建文章”、“编辑用户”、“发布付款”、“订阅邮件列表”。display_name— 权限的可读名称。不一定是唯一的,是可选的。例如:“创建文章”、“编辑用户”、“发布付款”、“订阅邮件列表”。description— 权限的更详细说明。
通常来说,将最后两个属性以句子形式理解可能会有所帮助:“权限 display_name 允许用户 description。”
用户
接下来,在现有的 User 模型中使用 NtrustUserTrait 特性。例如:
<?php use Klaravel\Ntrust\Traits\NtrustUserTrait; class User extends Authenticatable { use NtrustUserTrait; // add this trait to your user model /* * Role profile to get value from ntrust config file. */ protected static $roleProfile = 'user'; ... }
这将启用与 Role 的关系,并在您的 User 模型中添加以下方法:roles()、hasRole($name)、can($permission) 和 ability($roles, $permissions, $options)。
别忘了导出 composer 自动加载
composer dump-autoload
现在,您就可以开始了。
软删除
默认迁移利用了中继表中 onDelete('cascade') 子句,在删除父记录时删除关系。如果出于某种原因您无法在数据库中使用级联删除,NtrustRole 和 NtrustPermission 类以及 HasRole 特性包含事件监听器,可手动删除相关中继表中的记录。为了防止意外删除数据,如果模型使用软删除,事件监听器将 不会 删除中继数据。然而,由于 Laravel 事件监听器的限制,无法区分对 delete() 的调用与对 forceDelete() 的调用。因此,在 强制删除模型之前,您必须手动删除任何关系数据(除非您的中继表使用级联删除)。例如:
$role = Role::findOrFail(1); // Pull back a given role // Regular Delete $role->delete(); // This will work no matter what // Force Delete $role->users()->sync([]); // Delete relationship data $role->perms()->sync([]); // Delete relationship data $role->forceDelete(); // Now force delete will work regardless of whether the pivot table has cascading delete
使用方法
概念
让我们先创建以下 Role 和 Permission:
$owner = new Role(); $owner->name = 'owner'; $owner->display_name = 'Project Owner'; // optional $owner->description = 'User is the owner of a given project'; // optional $owner->save(); $admin = new Role(); $admin->name = 'admin'; $admin->display_name = 'User Administrator'; // optional $admin->description = 'User is allowed to manage and edit other users'; // optional $admin->save();
接下来,在创建了这两个角色之后,让我们将它们分配给用户。多亏了 HasRole 特性,这个过程非常简单:
$user = User::where('username', '=', 'michele')->first(); // role attach alias $user->attachRole($admin); // parameter can be an Role object, array, or id // or eloquent's original technique $user->roles()->attach($admin->id); // id only
现在我们只需要给这些角色添加权限
$createPost = new Permission(); $createPost->name = 'create-post'; $createPost->display_name = 'Create Posts'; // optional // Allow a user to... $createPost->description = 'create new blog posts'; // optional $createPost->save(); $editUser = new Permission(); $editUser->name = 'edit-user'; $editUser->display_name = 'Edit Users'; // optional // Allow a user to... $editUser->description = 'edit existing users'; // optional $editUser->save(); $admin->attachPermission($createPost); // equivalent to $admin->perms()->sync(array($createPost->id)); $owner->attachPermissions(array($createPost, $editUser)); // equivalent to $owner->perms()->sync(array($createPost->id, $editUser->id));
检查角色和权限
现在我们可以通过简单地做以下操作来检查角色和权限
$user->hasRole('owner'); // false $user->hasRole('admin'); // true $user->can('edit-user'); // false $user->can('create-post'); // true
hasRole() 和 can() 都可以接收一个要检查的角色 & 权限的数组
$user->hasRole(['owner', 'admin']); // true $user->can(['edit-user', 'create-post']); // true
默认情况下,如果用户有任何角色或权限,该方法将返回 true。传递 true 作为第二个参数指示该方法检查 所有 项
$user->hasRole(['owner', 'admin']); // true $user->hasRole(['owner', 'admin'], true); // false, user does not have admin role $user->can(['edit-user', 'create-post']); // true $user->can(['edit-user', 'create-post'], true); // false, user does not have edit-user permission
每个 User 可以有任意多的 Role,反之亦然。
Ntrust 类为当前登录用户提供了对 can() 和 hasRole() 的快捷方式
Ntrust::hasRole('role-name'); Ntrust::can('permission-name'); // is identical to Auth::user()->hasRole('role-name'); Auth::user()->can('permission-name);
您还可以使用占位符(通配符)来检查任何匹配的权限
// match any admin permission $user->can("admin.*"); // true // match any permission about users $user->can("*_users"); // true
用户能力
可以使用强大的 ability 函数进行更高级的检查。它接受三个参数(角色、权限、选项)
roles是要检查的角色集合。permissions是要检查的权限集合。
任一角色或权限变量可以是逗号分隔的字符串或数组
$user->ability(array('admin', 'owner'), array('create-post', 'edit-user')); // or $user->ability('admin,owner', 'create-post,edit-user');
这将检查用户是否具有提供的任何角色和权限。在这种情况下,它将返回 true,因为用户是 admin 并具有 create-post 权限。
第三个参数是选项数组
$options = array( 'validate_all' => true | false (Default: false), 'return_type' => boolean | array | both (Default: boolean) );
validate_all是一个布尔标志,用于设置是否检查所有值都为 true,或者如果至少匹配一个角色或权限,则返回 true。return_type指定是否返回布尔值、已检查值的数组或两者的数组。
以下是一个输出示例
$options = array( 'validate_all' => true, 'return_type' => 'both' ); list($validate, $allValidations) = $user->ability( array('admin', 'owner'), array('create-post', 'edit-user'), $options ); var_dump($validate); // bool(false) var_dump($allValidations); // array(4) { // ['role'] => bool(true) // ['role_2'] => bool(false) // ['create-post'] => bool(true) // ['edit-user'] => bool(false) // }
Ntrust 类为当前登录用户提供了对 ability() 的快捷方式
Ntrust::ability('admin,owner', 'create-post,edit-user'); // is identical to Auth::user()->ability('admin,owner', 'create-post,edit-user');
Blade 模板
Blade 模板中可用三个指令。您提供的指令参数将被直接传递到相应的 Ntrust 函数。
@role('admin') <p>This is visible to users with the admin role. Gets translated to \Ntrust::role('admin')</p> @endrole @permission('manage-admins') <p>This is visible to users with the given permissions. Gets translated to \Ntrust::can('manage-admins'). The @can directive is already taken by core laravel authorization package, hence the @permission directive instead.</p> @endpermission @ability('admin,owner', 'create-post,edit-user') <p>This is visible to users with the given abilities. Gets translated to \Ntrust::ability('admin,owner', 'create-post,edit-user')</p> @endability
中间件
您可以使用中间件按权限或角色过滤路由和路由组
Route::group(['prefix' => 'admin', 'middleware' => ['role:admin']], function() { Route::get('/', 'AdminController@welcome'); Route::get('/manage', ['middleware' => ['permission:manage-admins'], 'uses' => 'AdminController@manageAdmins']); });
可以使用管道符号作为 OR 操作符
'middleware' => ['role:admin|root']
要模拟 AND 功能,只需使用多个中间件实例
'middleware' => ['permission:owner', 'permission:writer']
对于更复杂的情况,请使用接受 3 个参数的 ability 中间件:角色、权限、validate_all
'middleware' => ['ability:admin|owner,create-post|edit-user,true']
短语法路由过滤器
要按权限或角色过滤路由,您可以在 app/Http/routes.php 中调用以下操作
// only users with roles that have the 'manage_posts' permission will be able to access any route within admin/post Ntrust::routeNeedsPermission('admin/post*', 'create-post'); // only owners will have access to routes within admin/advanced Ntrust::routeNeedsRole('admin/advanced*', 'owner'); // optionally the second parameter can be an array of permissions or roles // user would need to match all roles or permissions for that route Ntrust::routeNeedsPermission('admin/post*', array('create-post', 'edit-comment')); Ntrust::routeNeedsRole('admin/advanced*', array('owner','writer'));
这两种方法都接受一个第三个参数。如果第三个参数为null,则禁止访问的返回将执行App::abort(403),否则将返回第三个参数。因此,您可以使用它如下:
Ntrust::routeNeedsRole('admin/advanced*', 'owner', Redirect::to('/home'));
此外,这两种方法还接受一个第四个参数。它的默认值为true,并检查所有分配的角色/权限。如果将其设置为false,则函数只有在所有角色/权限对该用户都失败时才会失败。这对于需要允许多个组访问的admin应用程序非常有用。
// if a user has 'create-post', 'edit-comment', or both they will have access Ntrust::routeNeedsPermission('admin/post*', array('create-post', 'edit-comment'), null, false); // if a user is a member of 'owner', 'writer', or both they will have access Ntrust::routeNeedsRole('admin/advanced*', array('owner','writer'), null, false); // if a user is a member of 'owner', 'writer', or both, or user has 'create-post', 'edit-comment' they will have access // if the 4th parameter is true then the user must be a member of Role and must have Permission Ntrust::routeNeedsRoleOrPermission( 'admin/advanced*', array('owner', 'writer'), array('create-post', 'edit-comment'), null, false );
路由过滤器
通过简单地使用Facade中的can和hasRole方法,可以在过滤器中使用Ntrust角色/权限。
Route::filter('manage_posts', function() { // check the current user if (!Ntrust::can('create-post')) { return Redirect::to('admin'); } }); // only users with roles that have the 'manage_posts' permission will be able to access any admin/post route Route::when('admin/post*', 'manage_posts');
使用过滤器检查角色
Route::filter('owner_role', function() { // check the current user if (!Ntrust::hasRole('Owner')) { App::abort(403); } }); // only owners will have access to routes within admin/advanced Route::when('admin/advanced*', 'owner_role');
如你所见,Ntrust::hasRole()和Ntrust::can()会检查用户是否已登录,然后检查他/她是否有该角色或权限。如果用户未登录,返回值也将是false。
故障排除
如果在执行迁移时遇到类似以下错误的错误:
SQLSTATE[HY000]: General error: 1005 Can't create table 'laravelbootstrapstarter.#sql-42c_f8' (errno: 150)
(SQL: alter table `role_user` add constraint role_user_user_id_foreign foreign key (`user_id`)
references `users` (`id`)) (Bindings: array ())
那么很可能你用户表中的id列与role_user表中的user_id列不匹配。请确保它们都是INT(10)。
当尝试使用NtrustUserTrait方法时,遇到类似以下错误的错误:
Class name must be a valid object or a string
那么可能你没有发布Ntrust资源或发布时出现了问题。首先,检查你是否有位于app/config目录中的ntrust.php文件。如果没有,尝试运行php artisan vendor:publish,如果它没有出现,手动将/vendor/klaravel/ntrust/src/config/config.php文件复制到你的配置目录,并将其重命名为ntrust.php。
许可证
Ntrust是免费软件,根据MIT许可协议分发。
贡献指南
支持遵循PSR-1和PSR-4 PHP编码标准以及语义版本。
请将您在问题页面上发现的任何问题报告给我们。
欢迎提交pull请求。