savannabits / entrust
此包提供了一种灵活的方式,将基于角色的权限添加到Laravel
Requires
- php: >=7.2.0
- illuminate/cache: ^6.0 | ^7.0 | ^8.0|^9.0|^10.0|^11.0
- illuminate/console: ^6.0 | ^7.0 | ^8.0|^9.0|^10.0|^11.0
- illuminate/support: ^6.0 | ^7.0 | ^8.0|^9.0|^10.0|^11.0
Requires (Dev)
- illuminate/database: ^6.0 | ^7.0| ^8.0 |^9.0|^10.0|^11.0
- mockery/mockery: dev-master
- phpunit/phpunit: ^8.5|^9.0|^10.0
- sami/sami: dev-master
- dev-master
- v9.0.0
- v8.1.0
- v8.0.0
- v6.1.0
- v6.0.1.x-dev
- v6.0.1
- 5.2.x-dev
- 1.9.1
- 1.9.0
- 1.9.0-beta1
- 1.8.0
- 1.8.0-alpha1
- 1.7.0
- 1.6.0
- 1.5.0
- 1.4.1
- 1.4.0
- 1.3.0
- 1.2.5
- 1.2.4
- 1.2.3
- 1.2.2
- 1.2.1
- 1.2.0
- 1.1.1
- 1.1.0
- 1.0.x-dev
- 1.0.0
- v0.4.0beta
- v0.3.0beta
- v0.2.1beta
- v0.2beta
- v0.1beta
- dev-coolsam726-laravel-9
- dev-coolsam726-laravel-7
- dev-6.0.1-dev
- dev-major-version-to-work-with-laravel-6
- dev-2.0-dev
- dev-laravel-5
- dev-moura137-327
This package is auto-updated.
Last update: 2024-09-19 08:50:22 UTC
README
Entrust 是一种简洁灵活的方法,用于将基于角色的权限添加到 Laravel 6,7 和 8。
如果您正在寻找Laravel 4版本的版本,请查看 分支 1.0。它包含Laravel 4的最新entrust版本。
如果您正在寻找Laravel 5版本的版本,请查看 标签 1.7.0。它包含Laravel 5的最新entrust版本。
内容
安装
- 为了安装Laravel 6 Entrust,只需将以下内容添加到您的composer.json中。然后运行
composer update
"savannabits/entrust": "6.0.1"
- 打开您的
config/app.php并将以下内容添加到providers数组中
Savannabits\Entrust\EntrustServiceProvider::class,
- 在相同的
config/app.php中,将以下内容添加到aliases数组中
'Entrust' => Savannabits\Entrust\EntrustFacade::class,
- 运行以下命令以发布包配置文件
config/entrust.php
php artisan vendor:publish
- 打开您的
config/auth.php并将其添加到其中
'providers' => [ 'users' => [ 'driver' => 'eloquent', 'model' => Namespace\Of\Your\User\Model\User::class, 'table' => 'users', ], ],
- 如果您想使用 中间件(需要Laravel 5.1或更高版本),您还需要将以下内容添加到
routeMiddleware数组中。
'role' => \Savannabits\Entrust\Middleware\EntrustRole::class, 'permission' => \Savannabits\Entrust\Middleware\EntrustPermission::class, 'ability' => \Savannabits\Entrust\Middleware\EntrustAbility::class,
在 app/Http/Kernel.php 中。
配置
在 config/auth.php 中设置属性值。这些值将由entrust用于引用正确的用户表和模型。
要进一步自定义表名和模型命名空间,请编辑 config/entrust.php。
用户与角色的关系
现在生成Entrust迁移
php artisan entrust:migration
它将生成 <timestamp>_entrust_setup_tables.php 迁移。现在您可以使用artisan migrate命令运行它。
php artisan migrate
迁移后,将出现四个新表
roles— 存储角色记录permissions— 存储权限记录role_user— 存储角色和用户之间的多对多关系permission_role— 存储角色和权限之间的多对多关系
模型
角色
在 app/Role.php 中使用以下示例创建一个Role模型
<?php namespace App; use Savannabits\Entrust\EntrustRole; class Role extends EntrustRole { }
Role 模型有三个主要属性
name— 角色的唯一名称,用于在应用层查找角色信息。例如:“admin”,“owner”,“employee”。display_name— 角色的人读名称。不一定唯一且为可选。例如:“用户管理员”,“项目所有者”,“Widget Co. 员工”。description— 角色更详细的说明。也是可选的。
display_name 和 description 都是可选的;它们的字段在数据库中是可空的。
权限
在 app/Permission.php 中使用以下示例创建一个Permission模型
<?php namespace App; use Savannabits\Entrust\EntrustPermission; class Permission extends EntrustPermission { }
权限模型与角色模型具有相同的三个属性:
name— 权限的唯一名称,用于在应用层查找权限信息。例如:"create-post","edit-user","post-payment","mailing-list-subscribe"。display_name— 权限的易读名称。不一定唯一且为可选。例如:"创建帖子","编辑用户","发布付款","订阅邮件列表"。description— 对权限的更详细说明。
通常,可以将后两个属性以句子的形式来考虑:"该权限display_name允许用户description。"。
用户
接下来,在现有的User模型中使用EntrustUserTrait特性。例如:
<?php use Savannabits\Entrust\Traits\EntrustUserTrait; class User extends Eloquent { use EntrustUserTrait; // add this trait to your user model ... }
这将启用与Role的关系,并在User模型中添加以下方法:roles()、hasRole($name)、withRole($name)、can($permission)和ability($roles, $permissions, $options)。
别忘了执行composer自动加载
composer dump-autoload
然后你就可以开始了。
软删除
默认迁移利用了中继表中的onDelete('cascade')子句,在删除父记录时删除关系。如果由于某些原因您无法在数据库中使用级联删除,则EntrustRole和EntrustPermission类以及HasRole特性包含事件监听器来手动删除相关中继表中的记录。为了防止意外删除数据,如果模型使用软删除,事件监听器将不会删除中继数据。然而,由于Laravel的事件监听器存在限制,无法区分对delete()的调用与对forceDelete()的调用。因此,在强制删除模型之前,您必须手动删除任何关系数据(除非您的中继表使用级联删除)。例如:
$role = Role::findOrFail(1); // Pull back a given role // Regular Delete $role->delete(); // This will work no matter what // Force Delete $role->users()->sync([]); // Delete relationship data $role->perms()->sync([]); // Delete relationship data $role->forceDelete(); // Now force delete will work regardless of whether the pivot table has cascading delete
使用方法
概念
让我们先创建以下Role和Permission:
$owner = new Role(); $owner->name = 'owner'; $owner->display_name = 'Project Owner'; // optional $owner->description = 'User is the owner of a given project'; // optional $owner->save(); $admin = new Role(); $admin->name = 'admin'; $admin->display_name = 'User Administrator'; // optional $admin->description = 'User is allowed to manage and edit other users'; // optional $admin->save();
接下来,在创建了这两个角色后,让我们将它们分配给用户。多亏了HasRole特性,这非常简单:
$user = User::where('username', '=', 'michele')->first(); // role attach alias $user->attachRole($admin); // parameter can be an Role object, array, or id // or eloquent's original technique $user->roles()->attach($admin->id); // id only
现在我们只需要将这些权限添加到这些角色中
$createPost = new Permission(); $createPost->name = 'create-post'; $createPost->display_name = 'Create Posts'; // optional // Allow a user to... $createPost->description = 'create new blog posts'; // optional $createPost->save(); $editUser = new Permission(); $editUser->name = 'edit-user'; $editUser->display_name = 'Edit Users'; // optional // Allow a user to... $editUser->description = 'edit existing users'; // optional $editUser->save(); $admin->attachPermission($createPost); // equivalent to $admin->perms()->sync(array($createPost->id)); $owner->attachPermissions(array($createPost, $editUser)); // equivalent to $owner->perms()->sync(array($createPost->id, $editUser->id));
检查角色和权限
现在我们可以通过简单地这样做来检查角色和权限
$user->hasRole('owner'); // false $user->hasRole('admin'); // true $user->can('edit-user'); // false $user->can('create-post'); // true
两者hasRole()和can()都可以接收一个要检查的角色和权限数组
$user->hasRole(['owner', 'admin']); // true $user->can(['edit-user', 'create-post']); // true
默认情况下,如果用户存在任何角色或权限,则该方法将返回true。将true作为第二个参数传递将指示方法要求所有项目都匹配
$user->hasRole(['owner', 'admin']); // true $user->hasRole(['owner', 'admin'], true); // false, user does not have admin role $user->can(['edit-user', 'create-post']); // true $user->can(['edit-user', 'create-post'], true); // false, user does not have edit-user permission
每个用户可以有任意多的Role,反之亦然。
Entrust类为当前登录用户提供了对can()和hasRole()的快捷方式
Entrust::hasRole('role-name'); Entrust::can('permission-name'); // is identical to Auth::user()->hasRole('role-name'); Auth::user()->can('permission-name');
您还可以使用占位符(通配符)来检查任何匹配的权限,例如:
// match any admin permission $user->can("admin.*"); // true // match any permission about users $user->can("*_users"); // true
要按特定角色过滤用户,可以使用withRole()范围,例如检索所有管理员:
$admins = User::withRole('admin')->get();
// or maybe with a relationsship
$company->users()->withRole('admin')->get();
用户能力
可以使用惊人的ability函数进行更复杂的检查。它接受三个参数(角色、权限、选项)
roles是要检查的角色集合。permissions是要检查的权限集合。
任一角色或权限变量都可以是逗号分隔的字符串或数组
$user->ability(array('admin', 'owner'), array('create-post', 'edit-user')); // or $user->ability('admin,owner', 'create-post,edit-user');
这将检查用户是否具有提供的任何角色和权限。在这种情况下,它将返回true,因为用户是admin并具有create-post权限。
第三个参数是选项数组
$options = array( 'validate_all' => true | false (Default: false), 'return_type' => boolean | array | both (Default: boolean) );
validate_all是一个布尔标志,用于设置是否检查所有值都为true,或者如果至少匹配一个角色或权限则返回true。return_type指定是否返回布尔值、检查值的数组或同时返回两者
以下是一个示例输出
$options = array( 'validate_all' => true, 'return_type' => 'both' ); list($validate, $allValidations) = $user->ability( array('admin', 'owner'), array('create-post', 'edit-user'), $options ); var_dump($validate); // bool(false) var_dump($allValidations); // array(4) { // ['role'] => bool(true) // ['role_2'] => bool(false) // ['create-post'] => bool(true) // ['edit-user'] => bool(false) // }
《Entrust》类为当前登录用户提供了对ability()的快捷访问
Entrust::ability('admin,owner', 'create-post,edit-user'); // is identical to Auth::user()->ability('admin,owner', 'create-post,edit-user');
Blade模板
在您的 Blade 模板中,有三种指令可供使用。您作为指令参数提供的值将被直接传递给对应的Entrust函数。
@role('admin') <p>This is visible to users with the admin role. Gets translated to \Entrust::role('admin')</p> @endrole @permission('manage-admins') <p>This is visible to users with the given permissions. Gets translated to \Entrust::can('manage-admins'). The @can directive is already taken by core laravel authorization package, hence the @permission directive instead.</p> @endpermission @ability('admin,owner', 'create-post,edit-user') <p>This is visible to users with the given abilities. Gets translated to \Entrust::ability('admin,owner', 'create-post,edit-user')</p> @endability
中间件
您可以使用中间件来根据权限或角色过滤路由和路由组
Route::group(['prefix' => 'admin', 'middleware' => ['role:admin']], function() { Route::get('/', 'AdminController@welcome'); Route::get('/manage', ['middleware' => ['permission:manage-admins'], 'uses' => 'AdminController@manageAdmins']); });
可以使用管道符号作为OR运算符
'middleware' => ['role:admin|root']
要模拟AND功能,只需使用多个中间件实例
'middleware' => ['role:owner', 'role:writer']
对于更复杂的情况,请使用接受3个参数的ability中间件:roles、permissions、validate_all
'middleware' => ['ability:admin|owner,create-post|edit-user,true']
简短语法路由过滤器
要按权限或角色过滤路由,您可以在app/Http/routes.php中调用以下内容
// only users with roles that have the 'manage_posts' permission will be able to access any route within admin/post Entrust::routeNeedsPermission('admin/post*', 'create-post'); // only owners will have access to routes within admin/advanced Entrust::routeNeedsRole('admin/advanced*', 'owner'); // optionally the second parameter can be an array of permissions or roles // user would need to match all roles or permissions for that route Entrust::routeNeedsPermission('admin/post*', array('create-post', 'edit-comment')); Entrust::routeNeedsRole('admin/advanced*', array('owner','writer'));
这两种方法都接受第三个参数。如果第三个参数为null,则禁止访问的返回将执行App::abort(403),否则将返回第三个参数。因此,您可以像这样使用它
Entrust::routeNeedsRole('admin/advanced*', 'owner', Redirect::to('/home'));
此外,这两种方法还接受第四个参数。默认为true,并检查所有提供的角色/权限。如果将其设置为false,则只有在用户的所有角色/权限都失败时,函数才会失败。这对于需要允许多个组访问的admin应用程序很有用。
// if a user has 'create-post', 'edit-comment', or both they will have access Entrust::routeNeedsPermission('admin/post*', array('create-post', 'edit-comment'), null, false); // if a user is a member of 'owner', 'writer', or both they will have access Entrust::routeNeedsRole('admin/advanced*', array('owner','writer'), null, false); // if a user is a member of 'owner', 'writer', or both, or user has 'create-post', 'edit-comment' they will have access // if the 4th parameter is true then the user must be a member of Role and must have Permission Entrust::routeNeedsRoleOrPermission( 'admin/advanced*', array('owner', 'writer'), array('create-post', 'edit-comment'), null, false );
路由过滤器
您可以通过使用 Facade 中的can和hasRole方法,简单地在过滤器中使用 Entrust 角色/权限
Route::filter('manage_posts', function() { // check the current user if (!Entrust::can('create-post')) { return Redirect::to('admin'); } }); // only users with roles that have the 'manage_posts' permission will be able to access any admin/post route Route::when('admin/post*', 'manage_posts');
使用过滤器检查角色
Route::filter('owner_role', function() { // check the current user if (!Entrust::hasRole('Owner')) { App::abort(403); } }); // only owners will have access to routes within admin/advanced Route::when('admin/advanced*', 'owner_role');
如你所见,Entrust::hasRole()和Entrust::can()检查用户是否已登录,然后检查他们是否有角色或权限。如果用户未登录,返回值也将是false。
故障排除
当尝试使用 EntrustUserTrait 方法时,你会遇到类似以下错误的错误
Class name must be a valid object or a string
那么可能你没有发布 Entrust 资产,或者发布时出了点问题。首先,请检查您的config目录中是否有entrust.php文件。如果没有,则尝试运行php artisan vendor:publish,如果它没有出现,则手动将/vendor/savannabits/entrust/src/config/config.php文件复制到您的配置目录,并将其重命名为entrust.php。
如果您的应用程序使用自定义命名空间,则您需要告诉 entrust 您的permission和role模型在哪里,您可以通过编辑config/entrust.php中的配置文件来实现
'role' => 'Custom\Namespace\Role'
'permission' => 'Custom\Namespace\permission'
许可证
Entrust 是免费软件,根据 MIT 许可证的条款发布。
贡献指南
支持 PSR-1 和 PSR-4 PHP 编码标准和语义版本控制。
请将您在问题页面中发现的问题报告。欢迎提交拉取请求。